1. 数据流动和保护自然人

2. 保护个人数据目的

3. 不得以保护个人数据为由，限制数据在欧盟内部自由流动

1. 完全自动/部分自动方式处理个人数据，以及非自动汇集/拟构成汇集个人数据的活动

2. 例外： a） 发生在欧盟法律范围外的个人数据处理 b） 成员国在欧洲联盟条约第五卷第2章范围内进行活动时的个人数据处理 c） 个人和家庭生活中的个人数据处理 d） 主管当局为预防、调查、侦查或起诉刑事犯罪或执行刑事处罚的目的～

3. 欧盟相关机构、实体、办事处和代理机构处理个人数据，应适用45/2001/EC号条例。

4．本条例不影响2000/31/EC号指令的适用，特别是该指令第12条至第15条关于中间服务提供商责任的规定。

1. 适用于设立在欧盟境内的控制者或处理者对个人数据的处理，无论其处理行为是否发生在欧盟境内。

2. 境外： a） 向欧盟境内数据主体提供商品或服务，无论是否收费 b） 对数据主体发生在欧盟境内的行为进行监控

3. 设立在欧盟境外的控制者，设立地依据国际公法而要适用欧盟成员国法律，对个人数据处理适用本条例。

（1）“个人数据”是指已识别到的或可被识别的自然人（“数据主体”）的所有信息。可被识别的自然人是指其能够被直接或间接通过识别要素得以识别的自然人，尤其是通过姓名、身份证号码、定位数据、在线身份等识别数据，或者通过该自然人的物理、生理、遗传、心理、经济、文化或社会身份的一项或多项要素予以识别。 （2）“处理”是指对个人数据或个人数据集合的任何单一或一系列的自动化或非自动化操作，例如对其的收集、记录、组织、建构、存储、适配或修改、检索、咨询、使用、披露、传播或其他的利用、排列或组合、限制、删除或销毁。 （3）“处理限制”是指为限制之后对数据进行处理而对存储数据进行标记的行为； （4）“画像”是指为评估与自然人相关的某些个人情况，特别是为了分析或预测该自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可信度、行为、位置或行踪，而对个人数据进行的任何形式的自动化处理和利用。 （5）“假名化”是一种使得个人数据在不参照其他数据的情况下无法指向特定数据主体的个人数据处理方式。该处理方式将个人数据与其他数据分别存储，并且会采取相应的技术和组织措施而使得个人数据无法指向一个已识别到的或可被识别的自然人。 （6）“个人数据整理汇集系统”是一种可依照特定标准得以利用的、结构化的个人数据集合，无论其是集中、分散或按照功能或地域基准进行分布。 （7）“控制者”是能单独或共同决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他实体。其中个人数据处理的目的和方式，以及控制者或控制者资格的具体标准由欧盟或其成员国的法律予以规定。 （8）“处理者”是指为控制者处理个人数据的自然人、法人、公共机构、行政机关或其他实体。 （9）“接收者”是指被披露个人数据的自然人、法人、公共机构、行政机关或其他实体，无论其是否为第三方。但是，政府部门因在欧盟或其成员国法律框架内特定调查而获得个人数据的，不得被视为接收者；政府部门对这些数据的处理应当依据数据处理目的进行，并遵循相关数据保护规则。 （10）“第三方”是指数据主体、控制者、处理者以及根据控制者或处理者的直接授权处理个人数据的主体之外的自然人、法人、公共机构、行政机关或其他实体。 （11）数据主体的“同意”是指数据主体依照其意愿自愿作出的、具体的、知情的及明确的确认意思表示。其通过声明或明确肯定的行为作出的这种意思表示，表明其同意对其相关的个人数据进行处理。 （12）“个人数据泄露”是指个人数据在传输、存储或进行其他处理过程中发生安全问题，导致个人数据被意外或非法损毁、丢失、篡改、未经授权披露给第三方或可被第三方访问。 （13）“基因数据”是指与自然人先天或后天的遗传性特征相关的个人数据。这类数据能够反映与该自然人生理机能或健康状况相关的独特性质，并且上述数据往往来自对该自然人生物样本的分析结果。 （14）“生物识别数据”是通过对自然人的物理、生物或行为特征进行特定的技术处理而获得的个人数据。这类数据生成该自然人的唯一标识，比如人脸图像或指纹识别数据。 （15）“健康相关数据”是指与自然人身体或心理健康相关的个人数据，包括可以体现其健康状况的健康服务数据。 （16）“主营业场所”是指： （a）对于在多个成员国有营业机构的控制者，其在欧盟境内的主要管理机构所在地被视为主营业场所；但如果个人数据处理的目的和方式是控制者在欧盟境内另一营业机构内决定的，并且后者有权执行该决定，则作出该决定的营业机构所在地为主要营业场所； （b）对于在多个成员国有营业机构的处理者，其在欧盟境内的主要管理机构所在地为主营业场所；如果处理者在欧盟境内没有主要管理机构，但其在本条例项下承担特定义务的，则其欧盟境内营业机构主要处理活动发生地为主营业场所。 （17）“代表”指控制者或处理者依照第27条书面指定、代表控制者或处理者履行其各自在本条例项下义务的欧盟境内的自然人或法人。 （18）“企业”是指参与经济活动的所有组织形式的自然人或法人，包括经常参与经济活动的合伙或协会。 （19）“企业团体”是指控股企业及其控制的企业。 （20）“约束性企业规则”是指成员国范围内的控制者和处理者，向位于第三国的同一集团关联企业或者其他企业的控制者或处理者进行个人数据传输或系列传输时应遵守的个人数据保护政策。 （21）“监管机构”是指由成员国依据第51条设立的独立的公共权力机构。 （22）“有关监管机构”是基于下述原因而与个人数据处理有关的监管机构： （a）控制者或处理者设立于监管机构所在成员国之内； （b）居住于监管机构所在成员国的数据主体已经或可能因处理行为受到严重影响；或 （c）该监管机构收到申诉。 （23）“跨境处理”是指以下情形之一： （a）如果欧盟境内的控制者或处理者在多个成员国都有营业场所的，该控制者或处理者的营业机构在一个以上成员国的活动中发生的个人数据处理；或 （b）欧盟境内的控制者或处理者在欧盟境内只有一个营业场所，但是在其活动中发生的数据处理会严重影响或可能会严重影响多个成员国的数据主体。 （24）“相关与合理异议”是指对确定是否存在违反本条例行为或者对控制者或处理者拟采取的行为是否符合本条例，而对相关决议草案所提出的异议。该异议应清晰表明决议草案对数据主体的基本权利和自由以及欧盟境内个人数据自由流动所造成的重大风险。 （25）“数据社会服务”是指欧洲议会和欧盟理事会2015/1535/EC号指令的第1条第1款 （b）项中定义的服务。[19] （26）“国际组织”是指依照国际公法设立的组织及其下属机构，或者以两个或多个国家之间的协议为基础建立的其他机构。

1. 原则： a）合法性、公平性、透明性 b）目的限制 c）数据最小化 d）存储限制 e）准确性 f）保密性和完整性 2. 证明遵守第1条-问责制

1. 合法性要求： （a）数据主体同意为一个或多个特定目的而处理其个人数据； （b）数据处理是为履行数据主体作为一方的合同所必需，或者数据处理是在订立一项合同前为依据数据主体的要求采取特定行为所必需； （c）数据处理是为履行控制者所负担的法律义务所必需； （d）数据处理是为保护数据主体或另一自然人的重大利益所必需； （e）数据处理是为执行公共利益领域的任务所必需或是为行使控制者被赋予的公务职权所必需； （f）数据处理是为实现控制者或者第三方所追求的合法利益所必需，但数据主体所享有的、需要保护其个人数据的利益、基本权利和自由优先于上述合法利益的除外，尤其在数据主体为儿童的情形下。 上述（f）项不适用于政府机关在履行其职责时进行的数据处理。

2．各成员国可以通过制定能够确保数据处理（包括条例第九章所规定的其他具体处理情形）的合法性和公平性的、更加准确、具体的数据处理要求和其他措施的方式，保留或制定更加具体的规定落实本条例第1款（c）项和（e）项。

3．本条第1款（c）项和（e）项所指的处理活动法律依据如下： （a）欧盟法律；或 （b）适用于控制者的成员国法律。

4．如果数据处理的目的与该数据被收集时的目的不同，并且该处理亦非基于数据主体的同意或欧盟或成员国法律（该法律对于民主社会中用于保障本条例第23条第1款所指之目标是必要且适当的）的情形下，控制者应当考虑下列情形以确定为该其他目的所进行的数据处理是否与个人数据最初被收集时的目的相一致，特别是： （a）收集个人数据时的目的和拟进一步数据处理的目的之间的关系； （b）收集个人数据的背景，尤其是数据主体和控制者之间的关系； （c）个人数据的性质，尤其是其是否涉及本条例第9条项下特殊类别个人数据的处理，或者其是否涉及本条例第10条项下与刑事定罪和罪行有关的个人数据的处理； （d）拟进一步处理数据可能造成的后果； （e）是否存在适当保障措施，如加密或假名化措施等。

1．如处理是基于同意，则控制者应能证明数据主体已经同意处理其个人数据。

2．如数据主体通过书面声明的方式作出同意，且书面声明涉及其他事项，则要求数据主体同意的请求应以符合以下要求的形式呈现：与其他事项显著区别；易理解、易获得；使用清楚、平实的文字。如该声明中任何部分违反本条例的规定，则其应不具约束力。

3．数据主体有权随时撤回其同意。同意的撤回不应影响在撤回前基于同意作出的合法的数据处理。在作出同意前，数据主体应被告知上述权利。撤回同意应与作出同意同样容易。

4．当评估同意是否是自由作出时，应着重考虑一个合同的履行（包括服务的提供）是否是以数据主体同意处理为履行该合同不必要的个人数据为前提。

1．适用本条例第6条第1款（a）项规定，向儿童提供信息社会服务的，对16周岁以上儿童的个人数据的处理方为合法。在儿童未满16周岁时，当且仅当在取得该儿童监护人同意或者授权的情形下，上述数据处理方为合法。 各成员国可以以法律形式为前述目的设定更低的年龄界限，但不得低于13周岁。

2．在考虑到现有技术水平的前提下，控制者应当作出合理的努力以核实在此种情况下相关同意是否由相关儿童的监护人作出或者授权。

3．本条第1款不应影响各成员国的一般合同法适用，如与儿童有关的合同效力或者合同成立等。

1．禁止从事下列数据处理行为：对显示种族或民族出身、政治观点、宗教或哲学信仰、工会会员资格的个人数据进行的处理；为识别特定自然人为目的对基因数据、生物学数据进行的处理；对健康有关数据或者对特定自然人的性生活或性取向的数据进行的处理。

2．在满足下述任一条件的情形下，本条第1款将不适用： （a）数据主体对以一个或数个特定目的对上述个人数据进行处理给予了明示同意，但欧盟或者成员国法律规定本条第1款所列的禁止情形不得被数据主体免除的除外。 （b）数据处理为控制者或数据主体在劳动、社会保障以及社会保障法的范畴内履行其义务或者行使其权利所必需，且该数据处理符合下列条件：依据欧盟、成员国法律或者依据成员国法律制定的集体合同进行；上述法律或者集体合同规定了保护数据主体基本权利和利益的适当措施。 （c）数据处理为保护数据主体或另一自然人的重大利益所必需，且数据主体物理上或法律上无法给予相关同意。 （d）数据处理是由政治、哲学、宗教、工会性质的协会、组织或其他非营利性组织在其有适当安全保障的合法活动中实施的，且该数据处理满足如下要求：处理仅仅与该组织的成员、前成员或与该组织依其组织宗旨而产生联系的经常联系人相关；相关个人数据未经数据主体同意不得向组织外的人披露。 （e）数据处理与已经由数据主体明显公开的个人数据相关。 （f）数据处理为法律请求的提出、行使或辩护所必需或者数据处理是法院依据其司法权力而作出。 （g）数据处理是依据欧盟或者成员国法律为实现重大公共利益所必需，但欧盟或者成员国法律应与其欲实现的目的成比例，应尊重请求数据保护的权利，以及应为保护数据主体的根本权利和利益提供适当与具体的措施。 （h）数据处理为依据欧盟、成员国法律或者与医疗执业人员间的合同实现预防医学或者职业医学目的、对员工的工作能力进行评估、医疗诊断、提供医疗服务或者社会关怀、治疗、健康或者社会关怀系统管理或者服务等所必需。 该类数据处理还应遵守本条第3款所要求的条件与保障措施。 （i）数据处理为依据欧盟或者成员国法律实现在公共健康领域的公共利益所必需，如为防止严重的跨境健康威胁、为保证健康医疗、医用产品或者医用设备的高质量与安全。欧盟或者成员国法律应为保障数据主体的权利和自由提供适当与具体的措施，尤其是职业保密规定。 （j）数据处理系依据本条例第89条第1款规定，为公共利益进行档案管理、科学研究或历史研究目的、统计目的所必需，且需以欧盟或者成员国法为依据。欧盟或者成员国法律应与其欲实现的目的成比例，应尊重请求数据保护的权利，以及应为保护数据主体的根本权利和利益提供适当与具体的措施。

3．在满足以下条件的情形下，本条第1款所列的个人数据可以依据本条第2款（h）项所述之目的进行处理：相关数据应由依据欧盟、成员国法律或者由各国有权机关所创设的规则而负有职业保密义务的执业人员或者依据上述规定负有保密义务的其他人员为履行其义务而进行处理。

4．成员国可以就基因数据、生物学数据或者健康相关数据的处理保留或者制定包括相关限制在内的进一步条件。

依据本条例第6条第1款对有关刑事定罪和犯罪或者有关安全措施的数据进行的处理仅能在政府机关的控制下进行或者经由欧盟或者成员国法律授权。欧盟或者成员国法律应提供适当措施以保障数据主体的权利和自由。任何对刑事定罪的综合性登记均应在政府机关的控制下进行。

1．如果控制者持有相关数据的目的不需要或者不再需要识别其所掌控的个人数据的数据主体，则该控制者将不再仅仅为符合本条例之目的而被要求保存、获得或者处理额外信息。

2．在本条第1款的情形下，如果数控制者能够表明其将不再识别数据主体，该控制者应当在可能的情形下通知数据主体。在此种情形下，本条例第15条至第20条将不再适用，但数据主体为行使其在前述条款下的权利而向控制者提供额外信息以识别其身份的除外。

1．控制者应当采取适当措施向数据主体提供本条例第13条和第14条规定的信息和任何依据本条例第15条至第22条和第34条进行的、与数据处理相关的交流信息，尤其是需要提供给儿童的任何信息。该种信息应当以一种准确、透明、易于理解、易于获取的方式提供，且应使用清楚、平实的语言。该种信息应以书面或者其他适当方式（如电子方式）提供。在应数据主体的要求且数据主体的身份已通过其他方式加以证实的情形下，该等信息可以以口头形式提供。

2．控制者应当为数据主体行使其在本条例第15条至第22条项下的权利提供便利。在本条例第11条第2款规定的情形下，控制者不应拒绝数据主体行使其在本条例第15条至第22条项下的权利的要求，但控制者表明其不会识别数据主体的除外。

3．控制者应当及时（在任何情况下均不得超过收到相关请求后的1个月）向数据主体提供其根据数据主体在本条例第15条至第22条项下所提出的请求而采取的行动的信息。考虑到请求的复杂性和请求的数量，在必要情形下前述期限可以再延长两个月。数据主体应在收到相关请求后的1个月内告知数据主体任何有关于延期的信息，包括延迟原因。在数据主体以电子方式提出请求时，相关信息在可行的情况下以电子方式提供，但数据主体对提供方式有其他要求的除外。

4．如果控制者没有根据数据主体的请求采取行动，控制者应当及时（最迟不超过收到相关请求后的1个月）通知数据主体其未采取行动的原因及向监督机构提起申诉和寻求司法救济的可能性。

5．根据本条例第13条和第14条所提供的信息以及根据本条例第15条至第22条和第34条所进行的任何沟通或者采取的行动均应当免费。在数据主体提出的要求明显无依据或者明显超出合理范围（尤其是重复提起的）的情形下，控制者可以选择以下之一： （a）基于提供信息、进行交流或者采取行动的管理成本而收取合理费用； （b）拒绝数据主体的请求。 控制者应当承担证明数据主体的请求明显无依据或者明显超出合理范围的义务。

6．在不违背本条例第11条的前提下，如控制者有合理理由质疑依据本条例第15条至第21条提出请求的自然人的身份，则其可以要求该自然人提供额外的必要信息来证明其数据主体身份。

7．在根据本条例第13条和第14条向数据主体提供相关信息时可以一并提供标准化的图标，以简明可见、易于理解、清楚易读的方式向数据主体提供有关数据处理的总体概览。这些图标以电子方式呈现的情形下，应能够被机器所识别。

8．欧盟委员会有权根据本条例第92条制定授权立法，以决定标准化图标所代表的信息内容和提供标准化图标所需遵循的程序。

1．当控制者向数据主体收集其个人信息时，控制者应当在获得数据主体个人信息的同时，向数据主体提供以下信息： （a）控制者的身份和详细联系方式，适当时还要提供控制者代表的身份和详细联系方式； （b）适当时提供数据保护专员的详细联系方式； （c）个人信息处理的目的以及处理的法律基础； （d）当处理过程是依据第6条第1款（f）项的规定进行的，应当说明控制者或者第三方追求的合法利益； （e）个人数据接收方或者接收方的种类（如有）； （f）在适当的情况下，还应向数据主体告知控制者会将个人数据向第三国或者国际组织进行传输的意图、欧盟委员会是否作出过第三国或国际组织数据保护是否充分的决议以及第46条、第47条或者第49条第1款第二段提及情形的相关信息。此外，还包括所采取的保护个人信息的合理安全措施、获取安全措施复本的方式以及可以获得相关复本的地点。

2．除了第1款提到的信息，控制者在获取个人数据时，出于证实处理过程的公正和透明的需要，在必要的情况下，还应当向数据主体提供如下信息： （a）个人数据的存储时限，在无法提供具体存储时限的情形下，应当提供确定该存储时限的标准； （b）数据主体享有的可以要求控制者提供、修正、删除个人信息、要求对数据处理活动进行限制、反对对其个人信息进行处理以及要求数据可携带性的权利； （c）如果数据处理是基于第6（1）条（a）项以及第9（2）条（a）项进行的，则数据主体可以随时撤回其之前作出的同意，但是该撤回不影响撤回作出之前根据数据主体同意对数据进行处理的合法性； （d）向监管机构提起申诉的权利； （e）应向数据主体告知其提供个人信息是法定要求、合同要求还是签署合同的必要条件，以及数据主体是否有义务必须提供个人信息和如果无法提供数据情形下的可能产生的后果； （f）控制者对个人信息的自动决策机制，包括第22条第1款以及第4款所述的数据画像。在该种情况下，控制者至少应向数据主体提供数据画像过程中运用的逻辑以及该种数据处理对数据主体的重要性和可能产生的后果。

3．如果控制者将要对个人数据进行进一步处理，且该种处理的目的已经超出了之前对个人信息进行收集时的目的，则控制者应当在对数据进行进一步处理之前向数据主体提供其他目的的相关信息以及第2款规定的其他相关信息。

4．当数据主体已经获知上述信息时，本条第1款、第2款和第3款不再适用。

1．当个人信息并非从数据主体处获取时，控制者应当向数据主体提供如下信息； （a）控制者的身份和详细联系方式，适当时还要提供控制者代表的身份和详细联系方式； （b）适当时提供数据保护专员的详细联系方式； （c）个人信息处理的目的以及处理的法律基础； （d）相关个人数据的种类； （e）个人数据接收方或者接收方的种类（如有）； （f）在适当的情况下，还应向数据主体告知控制者会将个人数据向第三国或者国际组织进行传输的意图、委员会是否作出过第三国或国际组织数据保护是否充分的决议以及第46条、第47条或者第49条第1款第二段提及情形的相关信息。此外，还包括所采取的保护个人信息的合理安全措施、获取安全措施复本的方式以及可以获得相关复本的地点。

2．除了第1款提到的信息，在必要的情况下，控制者在获取个人数据时还应当向数据主体提供如下信息，以示公正和透明： （a）个人数据的存储时限，或者在无法提供具体存储时限的情形下，确定该存储时限的标准； （b）当处理过程是依据第6条第1款（f）项的规定进行的，应当说明控制者或者第三方追求的合法利益； （c）数据主体享有的可以要求控制者提供、修正、删除个人信息、要求对数据处理活动进行限制、反对对其个人信息进行处理以及要求数据可携带性的权利； （d）如果数据处理是基于第6条第1款（a）项以及第9条第2款（a）项进行的，则数据主体可以随时撤回其之前作出的同意，但是该撤回不影响撤回作出之前根据数据主体同意对数据进行处理的合法性； （e）向监管机构提起申诉的权利； （f）个人数据的来源，并在适当时候提供其是否来源于公共渠道； （g）控制者对个人信息的自动决策机制，包括第22条第1款以及第4款所述的数据画像。在该种情况下，控制者至少应向数据主体提供数据画像过程中运用的逻辑以及该种数据处理对数据主体的重要性和可能产生的后果。

3．控制者应当在以下时限内向数据主体提供第1款和第2款所述的信息： （a）考虑到数据处理案件的不同情况，应在获取个人数据之后的合理期限内（最迟不超过1个月）向数据主体提供； （b）如果个人数据将要用于与数据主体的交流，则最迟应该在与数据主体第一次交流之前向数据主体提供； （c）如果已经预见到个人数据将要披露给其他数据接收方，则最迟应该在个人数据首次披露之前向数据主体提供。

4．如果控制者将要对个人数据进行进一步处理，且该种处理的目的已经超出了最初收集个人信息进行时的目的，则控制者应当在对数据进行进一步处理之前向数据主体提供其他目的的相关信息以及第2款规定的其他相关信息。

5．第1款至第4款在以下情形不得适用： （a）数据主体已经获知上述信息。 （b）受限于第89条第1款的规定以及本条第1款提及的义务规定，这些信息的提供是不可能的或者必须要付出不成比例的巨大的努力，尤其是出于公共利益、科学或者历史调查和统计调查的目的而进行的处理活动。在这些情况下，控制者应当采取适当的措施保护数据主体的权利、自由以及合法利益（其中包括将上述信息公之于众）。 （c）欧盟或者控制者所属成员国已经对数据的获取和披露作出明确规定，控制者已经采取适当的措施来保护数据主体的合法利益。 （d）根据欧盟或者成员国法律以及保密法规定的职业保密制度，个人数据必须保密。

1．数据主体应当有权从控制者处确认与其相关的个人数据是否正在被处理，并在确认控制者正在对其个人数据进行处理的情况下，有权要求访问与其相关的个人数据并获知下列信息： （a）处理的目的； （b）相关个人数据的类别； （c）已经被披露或者将被披露的个人信息的接收方或者接收方的种类，尤其是第三国或国际组织的接收方； （d）在可以确定的情况下，提供个人数据将要存储的时限；如果上述具体时限不可确定，应提供确定该时限的标准； （e）数据主体具有要求控制者纠正、删除、限制处理其个人数据或者反对控制者对其个人数据进行处理的权利； （f）向监管机构提出申诉的权利； （g）在个人数据并非从数据主体处收集的情况下，关于其来源的任何信息。 （h）控制者对个人信息的自动决策机制，包括第22条第1款以及第4款所述的数据画像。在该种情况下，控制者至少应向数据主体提供数据画像过程中运用的逻辑以及该种数据处理对数据主体的重要性和可能产生的后果。

2．如果控制者会将个人数据传输给第三国或国际组织，数据主体应当有权要求控制者向其告知控制者根据第46条采取的保护措施。

3．控制者应向数据主体提供其正在处理的个人数据的复本。对于数据主体要求的任何进一步的文本，控制者可以根据管理成本收取合理的费用。如果数据主体通过电子方式提出请求，除非数据主体另有要求，信息应当以常用的电子形式提供。

4．数据主体获得第3款所指复本的权利不得对他人的权利和自由产生不利影响。

数据主体有权要求控制者对其不准确的个人数据进行及时纠正。考虑到处理的目的，数据主体应当有权要求控制者通过包括如提供补充声明的方式对其个人信息予以补充。

1．数据主体有权要求控制者对其个人数据进行删除，并且在下列情形下，控制者有义务及时地删除个人数据： （a）就收集或以其他方式处理个人数据的目的而言，该个人数据已非必要； （b）数据主体根据第6条第1款（a）项或第9条第2款（a）项撤回同意，并且在没有其他有关（数据）处理的法律依据的情况下； （c）数据主体根据第21条第1款反对对数据进行处理，并且没有有关（数据）处理的压倒性合法依据，或者数据主体根据第21条第2款反对处理； （d）个人数据被非法处理； （e）为遵守欧盟或控制者所属成员国法律规定的法定义务，个人数据必须被删除； （f）个人数据是根据第8条第1款为提供信息社会服务而收集的。

2．如果数据主体已经要求控制者删除其个人数据的任何链接、复本或复制件，但控制者已将个人数据公开，并且根据第1款有义务删除这些个人数据，控制者在考虑现有技术及实施成本后，应当采取包括技术措施在内的合理步骤，通知正在处理个人数据的控制者。

3．当处理（数据）对于以下情形而言是必要的时，则第1款和第2款不再适用： （a）为了行使言论和信息自由的权利； （b）为了遵守欧盟或者控制者所属成员国法律规定的法定义务、为了公共利益或在行使控制者被赋予的官方权限时必须对数据进行处理； （c）根据第9条第2款（h）、（i）项以及第9条第3款，为了公共卫生领域的公共利益的原因； （d）根据第89条第1款，为了公共利益进行档案管理、科学或历史研究目的或统计目的，而第1款所述权利的实施已为不可能或者很可能严重损害该处理目标的实现； （e）为了提出、行使或捍卫法律诉求。

1．在下列情况之一，数据主体应当有权限制控制者处理数据： （a）数据主体对个人数据的准确性提出争议，且其允许控制者在一定期间内对个人数据的准确性进行核实； （b）该处理是非法的，但是数据主体反对删除该个人数据，而是要求限制使用该个人数据； （c）控制者基于该处理目的不再需要该个人数据，但数据主体为提出、行使或抗辩法律诉求而需要该个人数据； （d）数据主体按照第21条第1款反对控制者对其个人数据进行处理，但需要核实控制者的法律依据是否优先于数据主体的法律依据。

2．如果处理行为根据第1款受到限制，除存储之外，这些个人数据只应在数据主体同意的情况下，或为提起、行使或抗辩法律诉求、为保护其他自然人或法人的权利或为了欧盟或者成员国的重要公共利益才能被处理。

3．根据第1款有权对数据处理活动进行限制的数据主体应当在处理限制解除之前收到控制者的通知。

除非被证明不可能完成或者包含不成比例的工作量，控制者应当将根据第16条、第17条第1款以及第18条对个人数据进行的任何纠正、删除或者处理限制告知已接受个人数据披露的接收者。如果数据主体请求，控制者应当向数据主体告知上述数据接收者。

1．当发生以下情形时，数据主体有权以结构化的、通用的、可以机读的方式接收其提供给控制者的与其相关的个人数据，并且有权将该等数据传输至其他控制者而不受此前已经获得该等数据的控制者的妨害： （a）数据根据第6条第1款（a）项或第9条第2款（a）项获得的同意，或根据第6条第1款（b）项达成的合同进行处理；并且 （b）数据以自动方式进行处理。

2．依据第1款行使数据可携带权时，数据主体有权以技术上可行的方式将个人数据从某一控制者直接传输至其他控制者。

3．本条第1款所述权利的行使不应违反第17条的规定。该权利不适用于为公共利益执行任务或行使赋予控制者的职权时进行的必要的数据处理。

4．第1款所述权利不得侵犯他人权利和自由。

1．数据主体有权以其所处特定情形有关的理由，随时拒绝依据第6条第1款（e）项或（f）项规定处理与其相关的个人数据，包括基于该等条款进行数据画像。控制者应停止处理个人数据，除非控制者能够提出令人信服的正当理由，以证明数据处理优先于数据主体的利益、权利和自由，或者以此提出、行使、抗辩法律诉求。

2．以直效营销为目的处理数据的，数据主体随时有权拒绝该等营销目的下对其个人数据的处理，包括与该等直效营销有关的数据画像。

3．数据主体拒绝以直效营销为目的处理数据的，控制者应当停止为该种目的处理个人数据。

4．最迟在与数据主体第一次沟通时，应当明确提请数据主体注意第1款和第2款所述的权利，并清晰地、独立于任何其他信息地将该等权利介绍给数据主体。

5．在利用信息社会服务的背景下，即使有2002/58/EC号指令，数据主体也可通过使用技术规范以自动化方式行使拒绝权。

6．根据第89条第1款以科学历史研究或统计的目的处理数据的，数据主体有权以其所处特定情形有关的理由拒绝处理与其相关的个人数据，除非该等处理对于为公共利益执行任务是必要的。

1．若某个单独基于自动化处理作出的决定，包括数据画像，将对数据主体产生法律后果或类似重大影响，则数据主体有权不受该决定的限制。

2．第1款在以下情形不适用： （a）该决定对于数据主体与数据控制者之间合同的达成和履行是必要的； （b）该决定是由欧盟或其成员国的法律授权作出的，该欧盟或其成员国的法律不仅约束控制者，并且明确了保护数据主体权利、自由和合法利益的适当措施是联盟或成员国的法律所规定的；或 （c）该决定基于数据主体的明示同意。

3．在第2款（a）项和（c）项所述情况下，数据控制者应当采取适当的措施保护数据主体的权利、自由和合法利益，至少包括为表达其观点和挑战某项决定而对控制者获得人为干预的权利。

4．第2款所述决定不得基于第9条第1款规定的特殊类别下的个人数据，除非适用第9条第2款（a）项或（g）项并且已经采取适当措施保护数据主体的权利、自由和合法利益。

1．欧盟或成员国的法律可以通过立法措施限制第12条至第22条和第34条项下的权利与义务的范围，以及第5条中规定的与第12条至第22条项下权利义务相对应的条款，从而对数据控制者或处理者进行约束。该等限制应尊重基本权利和自由的本质，并作为民主社会必要的、适当的措施，以此保障： （a）国家安全； （b）国防； （c）公共安全； （d）刑事犯罪的预防、调查、侦查、起诉或者刑事处罚的执行，包括对公共安全威胁的防范和预防； （e）属于欧盟或其成员国一般公共利益的其他重要对象，特别是欧盟或其成员国的重要经济或财政利益，包括货币、预算和税收等事项、公共卫生以及社会保障； （f）司法独立与司法程序的保护； （g）违反职业道德规范的预防、调查、侦查和起诉； （h）与（a）项至（e）项和（g）项下行使官方权力相关的监督、检查或相关的监管职能（即使仅偶尔相关）； （i）对数据主体或他人的权利与自由的保护； （j）民事诉讼请求的执行。

2．特别而言，第1款所述任何立法措施应至少包括以下相关具体规定： （a）处理的目的或处理的分类； （b）个人数据的分类； （c）引入的限制范围； （d）防止滥用、非法获取或转让的保障措施； （e）控制者的具体说明或控制者的分类； （f）结合处理的性质、范围和目的或处理的分类确定的存储期限和适用的保障措施； （g）对数据主体权利和自由的威胁；以及 （h）数据主体对限制的知情权，除非违反限制的目的。

1．考虑到处理的性质、范围、内容和目的以及处理给自然人的权利和自由带来的不同可能性与严重程度的风险，控制者应当采取适当的技术和组织措施，确保并能够证明处理是根据本条例进行的。该等措施应在必要时进行审查和更新。

2．与有关处理活动相适应的情形下，第1款所述措施应包括由控制者执行适当的数据保护政策。

3．遵守第40条所述经批准的行为准则或第42条所述经批准的认证机制，可以作为证明控制者合规义务的要素之一。

1．考虑到发展现状、执行成本、处理的性质、范围、内容和目的以及处理给自然人的权利和自由造成的各种可能性与严重程度的风险，控制者应在确定处理手段时以及进行处理的同时，采取假名化等适当的技术和组织措施执行数据保护原则，如数据最小化原则。该等措施应以有效的方式进行，并且在处理时结合必要的保障措施以符合本条例要求，保护数据主体的权利。

2．控制者应采取适当的技术和组织措施以确保在默认情况下仅处理对特定处理目的所必需的个人数据。该义务适用于收集的个人数据的数量、数据处理的程度、数据的存储期限和数据的可及性。特别是，该等措施应确保个人数据在默认情况下对不限数量的自然人而言是不可访问的，除非有个人的干预。

3．第42条项下经批准的认证机制可以作为证明符合本条第1款和第2款要求的要素之一。

1．当由两个或两个以上的控制者共同决定数据处理的目的和手段时，他们即为联合控制者。他们应以明确的方式确定在本条例规定下各自承担的合规义务，特别是依据内部安排确定关于数据主体权利的行使以及各自提供第13条和第14条项下信息的义务，除非欧盟或成员国的法律对联合控制者各自的义务已经作出规定。控制者之间可以通过内部安排指定数据主体的一个联络人。

2．第1款所述安排应当如实反映联合控制者各自的角色及其与数据主体的对应关系。数据主体应当能够获得该安排的主要内容。

3尽管存在第1款所述安排条款，数据主体可以行使其在本条例下关于或对抗控制者的各项权利。

1．当第3条第2款适用时，控制者或处理者应当以书面形式在欧盟中指定一位代表。

2．本条第1款所述义务不适用于： （a）数据处理是偶然发生的，不包括大规模的对第9条第1款所述特殊类别数据的处理，或者对第10条项下有关刑事定罪和处罚的个人数据的处理，并且考虑到处理的性质、内容、范围和目的，不太可能对自然人的权利和自由造成风险；或者 （b）政府机关或机构。

3．代表应设立在接受商品或服务或者其行为受到监控的数据主体所在的成员国内。

4．为确保遵守本条例，代表应获得控制者或处理者的授权，与控制者或者处理者一起，或者代替控制者或处理者，就数据处理相关的所有事宜与监管机构和数据主体联系。

5．控制者或处理者指定的代表不应损害可能发生的针对该控制者或处理者的诉讼。

1．当处理是以控制者的名义进行的，控制者只能使用那些能够充分保证在处理中采取恰当的技术和组织措施以满足本条例的要求，并且确保保护数据主体权利的处理者。

2．未经控制者事先特别或一般的书面授权，处理者不能引入其他处理者。获得一般书面授权的情况下，处理者应当就有关增加或替换其他控制者而可能发生的变更通知控制者，以便控制者有机会对该变更进行反对。

3．处理者处理数据应遵守欧盟或其成员国法律管辖下的合同或其他法律法规，该等合同或法律法规应对处理者有约束力，并明确处理的标的、期限、性质和目的、个人数据的类别、数据主体的分类以及控制者的权利义务。该合同或其他法律法规对处理者应进行以下特别规定： （a）处理个人数据只能基于控制者的书面指示，包括将个人数据向第三国或国际组织传输，除非该等处理是适用于该处理者的欧盟或其成员国的法律所要求的；在这种情况下，处理者应在处理之前将相关法律的要求通知控制者，除非该法律基于重要的公共利益原因禁止该等通知； （b）确保被授权处理个人数据的人已经承诺保密或承担法定保密义务； （c）采取第32条要求的全部措施； （d）遵守第2款和第4款项下关于引入其他处理者的条件； （e）结合处理的性质，尽可能运用适当的技术和组织措施协助控制者在面临行使第三章项下数据主体权利的请求时履行相应的义务； （f）结合处理的性质和处理者可得到的信息，协助控制者在第32条至第36条项下合规； （g）根据控制者的指示，处理者应在处理服务完成之后删除或向该控制者返还全部个人数据并删除复制件，除非欧盟或其成员国的法律要求存储该等个人数据； （h）向控制者提供所有证明在本条项下合规的必要信息，并允许、配合控制者或控制者指定的审计师进行审计，包括检查。 关于第1款（h）项，如果处理者认为控制者的指令违反了本条例或其他欧盟或其成员国的法律关于数据保护的规定，处理者应当立即通知控制者。

4．处理者引入其他处理者代表控制者进行特定处理活动的，第3款项下控制者和处理者之间的合同或其他法律法规对数据保护义务应以欧盟或其成员国法律管辖的合同或其他法律法规的方式同样约束该其他处理者代表，特别是提供充分保证将采取适当的技术和组织措施以确保处理获得满足本条例要求。该其他处理者未能履行其数据保护义务的，最初处理者应就该其他处理者义务的履行对控制者承担全部责任。

5．处理者遵守第40条所述经批准的行为准则第42条所述经批准的认证机制，可以作为证明本条第1款和第4款项下充分保证的要素之一。

6．在不违反控制者和处理者之间的单个合同的情况下，本条第3款和第4款所述合同或其他法律法规可部分或全部依据本条第7款和第8款项下标准化合同条款，包括作为第42条和第43条项下授予控制者或处理者的认证的一部分。

7．欧盟委员会可依据第93条第2款所载审查程序就本条第3款和第4款所述事项制定标准化的合同条款。

8．监管机构对本条第3款和第4款所述事项可按照第63条项下的一致性机制采用标准化的合同条款。

9．第3款和第4款项下的合同或其他法律法规应当以书面形式（包括电子形式）记载；

10．在不违背第82条、第83条和第84条的情况下，如果处理者违反本条例的规定对处理的目的和手段进行决策，该处理者在该等处理下应被认定为控制者。

除非收到控制者的指令，在控制者或处理者授权下访问个人数据的处理者以及任何人不得处理该等数据，欧盟或其成员国的法律另有要求除外。

1．各控制者以及控制者代表（如适用）应当留存依职责进行处理活动的记录。该记录应当包括以下全部信息： （a）控制者以及联合控制者、控制者代表和数据保护专员（如适用）的姓名和联系信息； （b）处理的目的； （c）数据主体的类别和个人数据的分类的描述； （d）已经或将要向其披露个人数据的接收者类别，包括第三国的或国际组织接收者； （e）如适用，向第三国或国际组织传输个人数据的情况，包括该第三国或国际组织的身份以及在第49条第1款第2段所述传输的情况下，采取适当安全措施的有关文档； （f）如可能，对删除不同类别的数据设定时间限制； （g）如可能，对第32条第1款所述技术和组织安全措施进行一般性描述。

2．各处理者以及处理者代表（如适用）应当留存其代表控制者进行处理活动的记录。该记录应当包括： （a）处理者、处理者代表的控制者以及控制者或处理者的代表（如适用）的姓名和联系信息； （b）代表各控制者进行处理的类别； （c）如适用，向第三国或国际组织传输个人数据的情况，包括该第三国或国际组织的身份以及在第49条第1款第2段所述传输的情况下，采取适当安全措施的有关文档； （d）如可能，对第32条第1款所述技术和组织安全措施进行一般性描述。

3．第1款和第2款项下的记录应当为书面形式，包括电子形式。

4．控制者或处理者以及控制者或处理者的代表（如适用）应当按照监管机构要求提供该等记录。

5．第1款和第2款所述义务不适用于雇用人数少于250人的企业或组织，除非其处理活动可能对数据主体的权利和自由造成风险，或该处理不是偶然发生的，抑或该处理包括第9条第1款项下特殊类别的数据或第10条项下与刑事认定和犯罪相关的个人数据。

控制者、处理者及其代表（如适用）在事务执行的过程中应当按照要求与监管机构进行合作。

1．统筹考虑最先进的技术、实施成本、处理的性质、范围和目的以及自然人权利和自由风险的各种可能性和严重性，控制者和处理者应当采取适当的技术和组织措施保证安全性与风险性一致，包括以下措施： （a）个人数据的假名化和加密； （b）保证处理系统和服务持续保密、完整、可用以及快速恢复的能力； （c）在发生物理或技术事故的情况下，及时恢复个人数据可用性和可及性的能力； （d）为保证处理的安全性对技术性和组织性措施的有效性进行定期测试、评定和评估的流程。

2．评估安全等级时，应特别考虑处理过程中出现的风险，特别是对传输、存储或通过其他方式处理的个人数据的意外或非法损毁、丢失、篡改、未经授权披露或获取。

3．遵守第40条所述经批准的行为准则或第42条所述经批准的认证机制，可以作为证明符合本条第1款所述合规义务的要素之一。

4．控制者和处理者应当采取措施，确保在控制者或处理者授权之下可获取个人数据的任何自然人均不能对该等数据进行处理，除非得到控制者的指令或者按照欧盟或其成员国的法律要求。

1．在个人数据泄露的情况下，控制者应当（强制）尽快且最迟自知道该泄露之时起72小时之内，根据第55条通知监管机构，除非个人数据的泄露不太可能对自然人的权利和自由造成风险。迟于72小时向监管机构发出通知的，应说明迟延的原因。

2．处理者知道个人信息泄露后应当尽快通知控制者

3．第1款项下的通知至少应当包括： （a）对个人数据泄露的性质进行描述，包括涉及数据主体的类别、大致数量以及相关个人数据记录的种类和大致数量； （b）告知数据保护专员的姓名和联系方式，或者能获取更多信息的其他联络人； （c）描述个人信息泄露可能造成的后果； （d）描述控制者为弥补个人数据泄露采取的或计划采取的措施，包括降低潜在负面影响的措施。

4．若无法在同一时间提供全部信息，可以在没有不合理延误的情况下分阶段进行。

5．控制者应当书面记录任何个人数据泄露情况，包括和个人数据泄露有关的事实、影响和采取的补救性措施。该等书面记录应足以供监管机构核查本条项下的合规性。

1．如个人数据泄露可能对自然人的权利和自由造成高风险，控制者应当毫无延误地就个人数据泄露与数据主体交流。

2．本条第1款所述与数据主体交流，应当以清晰平实的语言描述个人数据泄露的性质和内容，并至少应当包括第33条第3款（b）（c）（d）项三项规定的信息和措施。

3．以下情形均不适用第1款所述与数据主体交流： （a）控制者已经采取适当的技术性、组织性保护措施，并且该等措施已经应用于受泄露影响的个人信息，特别是使任何未经授权的人都无法理解该个人信息含义的措施，比如数据加密； （b）控制者已经采取后续措施，确保第1款所述对于数据主体的权利和自由造成的高风险不可能出现； （c）当与数据主体交流会涉及不成比例的努力。在该等情况下，应当通过公共交流机制或类似举措使得数据主体能够获得同等有效的通知。

4．如果控制者并未就个人数据泄露与数据主体进行交流，考虑到个人数据泄露造成高风险的可能性，监管机构可以要求控制者进行该等交流或决定第3款所述任何条件是否成就。

1．处理，尤其是运用新技术进行处理，考虑到处理的性质、范围、背景和目的，可能对自然人的权利和自由产生较高风险，因此，在进行数据处理前，控制者应对拟进行的处理操作进行个人数据保护影响评估。存在类似较高风险的一系列类似处理操作可统一进行一次评估。

2．控制者在进行数据保护影响评估时，应当向任命的数据保护专员寻求建议。

3．第1款所述的数据保护影响评估尤其适用于以下情形： （a）基于自动化处理（包括数据画像）对自然人的个人情况进行系统、广泛的评估，并基于该评估作出对该自然人产生法律效力或类似重大影响的决定； （b）对第9条第1款所述的特殊种类的数据，或第10条所述的与刑事定罪和犯罪相关的个人数据进行大规模处理；或 （c）对公共区域进行大范围系统监控。

4．监管机构应当确立并公开须按照第1款进行数据保护影响评估的处理操作种类清单。监管机构应当将该等清单告知第68条所述的欧洲数据保护委员会。

5．监管机构亦可确立并公开无须进行数据保护影响评估的处理操作种类清单。监管机构应当将该等清单告知欧洲数据保护委员会。

6．在通过第4款和第5款所述的清单前，如处理活动涉及向数据主体提供货物或服务或者在多个成员国监督数据主体行为的相关处理活动，或者可能严重影响个人数据在欧盟境内的自由流动的，主管监管机构应当适用第63条所述的一致性机制。

7．评估应当至少包含： （a）对拟进行的处理操作和处理目的的系统描述，适当情况下包括对控制者追求的合法利益的系统性描述； （b）对与处理目的相关的操作必要性和合理性的评估； （c）对第1款所述数据主体权利和自由风险的评估；及 （d）消除上述风险的拟定措施，考虑到数据主体和其他相关人的合法利益，包括确保个人数据得到保护并证明本条例得到遵守的保障、安全措施和机制。

8．在对相关控制者或处理者的处理操作进行影响评估时，尤其是为了数据保护影响评估之目的做评估时，应当将其是否遵守第40条所述经批准的行为准则考虑在内。

9．适当情况下，在不损害商业或公共利益保护或处理操作安全性的原则下，控制者应当咨询数据主体或数据主体代表对拟进行的数据处理的意见。

10．如果按照第6条第1款（c）项或（e）项进行的处理在欧盟法律或控制者受约束的成员国法律中具有法律依据，而该法调整相关的具体处理操作或一系列操作，并且作为总体影响评估的一部分，在采用该法律依据时已做过数据保护影响评估的，第1款至第7款不适用，除非成员国认为有必要在处理活动之前进行该评估。

11．必要时，至少在处理操作的风险发生变化时，控制者应对评估进行审核，以评估处理是否根据数据保护影响评估进行。

1．根据第35条项下的数据保护影响评估结果，在降低风险的措施缺失、处理可能导致高风险的情况下，控制者在进行处理前应当咨询监管机构。

2．监管机构认为第1款中所述拟进行的处理将违反本条例的，尤其是控制者未充分识别或降低风险的，应当在收到咨询请求后8周内，向控制者（适当情况下，和处理者）出具书面建议，并可行使第58条规定的任何权力。考虑到拟进行的处理的复杂性，上述期间可延长6周。若需延长，监管机构应当在收到咨询请求后1个月内通知控制者（适当情况下，和处理者），并说明延迟的原因。在监管机构取得其为咨询目的所要求的信息前，上述期间可以中止。

3．在按照第1款咨询监管机构时，控制者应当向监管机构提供下列信息： （a）适当情况下，处理尤其是企业集团内部的处理中涉及的控制者、共同控制者和处理者各自的责任； （b）拟进行的处理的目的和方式； （c）按照本条例保护数据主体权利和自由的措施与保障； （d）适当情况下，数据保护专员的联系方式； （e）第35条规定的数据保护影响评估；及 （f）监管机构要求的任何其他信息。

4．在成员国准备将与处理相关的立法措施提案提交国会通过时，或者准备基于该立法措施制定与处理相关的监管措施时，应当咨询监管机构。

5．尽管有第1款的规定，对于控制者为履行职责而进行的合乎公共利益的处理，包括与社会保护和公共卫生相关的处理，成员国法律可以要求控制者咨询监管机构或取得监管机构的事先授权。

1．以下情况中，控制者和处理者应任命一名数据保护专员： （a）除法院基于司法权进行数据处理外，数据处理由政府机关进行； （b）控制者或处理者的核心活动是数据处理操作，由于处理操作的性质、范围和/或目的，要求对数据主体进行定期和系统的大规模监控的；或者 （c）控制者或处理者的核心活动主要是对第9条特殊类别的个人数据以及第10条中有关刑事定罪和罪行的个人数据进行大规模处理的。

2．企业团体可仅指定一名数据保护专员，但应保证每一营业机构均可便捷地与其联络。

3．如果控制者或处理者是政府机关或机构，考虑到其组织结构和规模，可为这些机关或机构共同指定一名数据保护专员。

4．除第1款所述的情况外，控制者或处理者或者代表不同类别控制者或处理者的协会及其他机构可根据欧盟或成员国法律的要求，任命一名数据保护专员。该数据保护专员可服务于代表控制者或处理者的协会和其他机构。

5．应依据专业水平任命数据保护专员，并且被任命的数据保护专员特别应具有数据保护法律和实务方面的专业知识，具备履行第39条所述职责的能力。

6．数据保护专员可以由控制者或处理者的员工担任，或基于服务合同的方式履行职责。

7．控制者或处理者应公布数据保护专员的联系方式，并将其告知监管机构。

1．控制者和处理者应确保数据保护专员以适当方式及时参与所有涉及个人数据保护的事宜。

2．控制者和处理者应支持数据保护专员履行第39条所述职责，为其提供必要的资源及查阅个人数据、进行处理操作及保持其专业知识的途径。

3．控制者和处理者应确保数据保护专员不会收到任何指令指示其如何履行职责，并且数据保护专员不会因其履行职责而被解雇或受处罚。数据保护专员直接向控制者或处理者的最高管理层负责。

4．数据主体可就其个人数据处理以及本章程规定下权利行使的所有问题与数据保护专员取得联系。

5．根据欧盟或者成员国法律，数据保护专员应当对其履行职责的内容保密。

6．数据保护专员可履行其他职责。控制者或处理者应确保履行任何此等职责不会导致利益冲突。

1．数据保护专员至少应承担下列职责： （a）根据本条例及欧盟或成员国其他数据保护规定，告知控制者或处理者及处理数据的员工所承担的义务，并提供这方面的建议； （b）监督对本条例、欧盟或成员国其他数据保护规定和控制者或处理者有关个人数据保护政策的遵守情况，包括在个人数据处理操作中相关工作人员的职责分配、强化意识和培训，及相关审计； （c）根据要求提供数据保护影响评估方面的建议，并监督其依照第35条进行数据保护评估； （d）配合监管机构； （e）作为监管机构在数据处理（包括第36条中的事先咨询）及适当情况下任何其他事务的联络人。

2．数据保护专员在履行职责过程中，应考虑到数据处理的性质、范围、环境和目的，注意处理操作的风险。

1．成员国、监管机构、欧洲数据保护委员会和欧盟委员会应鼓励起草旨在促进本条例正确适用的行为准则，并在制定过程中考虑到各处理行业的具体特点以及微型和中小型企业的具体需求。

2．为使本法得到具体应用，代表各类别控制者或处理者的协会及其他机构可制定关于下列方面行为准则，或者对行为准则进行修订或扩展： （a）公平透明处理； （b）控制者在具体情况下所追求的合法利益； （c）个人数据的收集； （d）个人数据假名化； （e）向公众和数据主体提供的信息； （f）数据主体权利的行使； （g）提供给儿童的数据和对儿童的保护，以及获得儿童监护人同意的方式； （h）第24条和第25条中所述的措施和程序以及第32条中所述的确保处理安全的措施； （i）将个人数据泄露的情况告知监管机构及数据主体； （j）将个人数据传输至第三国或国际组织；或者 （k）解决控制者与数据主体之间关于数据处理的庭外程序和其他争议解决程序，但不得影响数据主体依照第77条和第79条所享有的权利。

3．除本条例范围内的控制者或处理者须遵守之外，为第46条第2款（e）项规定的向第三国或国际组织传输个人数据框架内提供适当的保障，依照第3条不属于本条例范围内的控制者或处理者也应遵守依照本条第5款批准并且依照本条第9款具有一般有效性的行为准则。此等控制者或处理者应通过合同或其他具有合法约束力的文件，对采取的适当保障（包括有关数据主体权利的适当保障）作出具有约束力和可执行的承诺。

4．除第55条及第56条所述主管监管机构的职责和权力另有规定外，本条第2款所述行为准则应规定相关机制，使第41条第1款中的机构能够对承诺实施行为准则的控制者或处理者遵守准则规定的情况实施强制监督。

5．本条第2款所述协会和其他机构，如拟起草行为准则或者对现有准则进行修订或延伸的，应将行为准则草案或对现有准则所做的修订或延伸提交依第55条确定的主管监管机构。监管机构应对行为准则草案或对现有准则所做的修订或延伸是否符合本条例提出意见，并批准其认为提供了充分适当保障的行为准则草案或对现有准则所做的修订或延伸。

6．如果准则草案或现有准则的修订或延伸按照第5款获得批准，并且相关行为准则不涉及在多个成员国的处理活动，监管机构应登记并公布该准则。

7．如果行为准则草案涉及在多个成员国的处理活动，依照第55条确定的主管监管机构在批准准则草案、现有准则的修订或延伸前，应当依第63条所述的程序将其提交给欧洲数据保护委员会，由该委员会对准则草案、现有准则的修订或延伸规定是否符合本条例提出意见，或在本条第3款提及的情况中，对准则草案、现有准则的修订或延伸是否提供适当的保障提出意见。

8．如果第7款中欧洲数据保护委员会确认准则草案、现有准则的修订或延伸规定符合本条例，或者确认在本条第3款所述情况中，准则草案、现有准则的修订或延伸提供了适当的保障的，其应将该意见呈交欧盟委员会。

9．欧盟委员会可通过实施法案决定依照本条第8款呈交的已获批准的行为准则、对现有准则的修订或延伸在欧盟范围内普遍有效。这些实施法案应按照第93条第2款中规定的审查程序通过。

10．欧盟委员会应确保对经过批准并且按照第9款具有普遍有效性的准则进行适当的公示。

11．欧洲数据保护委员会应对登记簿中所有经过批准的行为准则、对现有准则的修订或延伸进行整理，并通过适当的方式向公众提供。

1．除第57条和第58条对主管监管机构的职责与权力另有规定外，对第40条所述行为准则的监管应由对行为准则有关内容具有适当专业水平并由主管监管机构认可的机构实施。

2．如第1款所述的机构已经从事下列行为的，可被认可对行为准则的遵守情况进行监督： （a）证明其独立性及对行为准则内容的专业性，并得到主管监管机构的认可； （b）设置了相关程序，允许其评估相关控制者和处理者适用行为准则的资格、监督其遵守情况并定期审查操作情况； （c）设置了相关程序和体系，处理针对违反准则的行为或者对控制者或处理者过去或现在实施行为准则方式的申诉，并将这些程序和体系对数据主体和公众公开透明；和 （d）已证明其职责不会导致利益冲突，并获得主管监管机构的认可。

3．依照第63条中提及的一致性机制，主管监管机构应将本条第1款所述的机构认可标准草案提交欧洲数据保护委员会。

4．本条第1款所述的机构，在已采取恰当保障措施的情况下，应当对控制者或处理者违反准则的情况采取适当的措施，包括在不影响主管机构的职责和权力以及第八章规定的前提下，将相关控制者或处理者暂停或排除在准则之外，并将所采取的此等措施及采取的理由通知相关主管监管机构。

5．如果第1款中所述机构的认可不符合或不再符合本条例，或者该机构采取的措施违反本条例的，主管监管机构应撤销对该机构的认可。

6．本条不适用于政府权力机构和公共机构处理数据的行为。

1．成员国、监管机构、欧洲数据保护委员会和欧盟委员会应鼓励设立数据保护认证机制和数据保护印章与标记（尤其是在欧盟层面），用以证明控制者和处理者遵守了本条例的数据处理操作规定，但应考虑到微型和中小型企业的具体需求。

2．除本条例范围内的控制者或处理者须遵守之外，为在第46条第2款（f）项规定的向第三国或国际组织传输个人数据框架内提供适当的保障，依照第3条不属于本条例范围内的控制者或处理者也应遵守依照本条第5款批准的数据保护认证机制、印章和标记规定。此等控制者或处理者应通过合同或其他具有合法约束力的文件，对采取的适当保障（包括有关数据主体权利的适当保障）作出具有约束力和可执行的承诺。

3．认证应当是自愿的，且程序透明。

4．依照本条进行的认证并未减少控制者或处理者遵守本条例的责任，也未影响第55条和第56条所述主管监管机构的职责和权力。

5．依照本条进行的认证由第43条所述认证机构或主管监管机构，根据该主管监管机构依照第58条第3款批准的标准或者欧洲数据保护委员会依照第63条批准的标准签发。经欧洲数据保护委员会批准的标准可成为一般性认证，即欧洲数据保护印章。

6．将处理提交认证机制后，控制者或处理者，应向第43条所述认证机构或在适当情况下向主管监管机构，提供认证程序所需的一切数据和获取其处理活动的权利。

7．向控制者或处理者签发的认证最长有效期为3年，根据同样的条件并在继续符合相关要求的情况下可续展该认证。如果不符合或者不再继续符合认证要求的，第43条中的认证机构或主管监管机构应根据情况撤销认证。

8．欧洲数据保护委员会应对登记簿中的所有认证机制及数据保护印章和标记进行整理，并通过适当的方式向公众提供。

1．在不妨害第57条和第58条所述主管监管机构的职责和权力的情况下，在数据保护方面具有相应专业水平的认证机构，如必要，应在告知监管机关允许其依照第58条第2款（h）项行使权利后签发和续展认证。成员国应确保这些认证机构获得以下一家或两家机构的认可： （a）依照第55条或第56条具有管辖权的监管机构； （b）按照根据EN-ISO/IEC 17065/2012签发的欧洲议会和欧盟理事会765/2008/EC号条例，以及依照第55条或第56条主管监管机构的其他要求指定的全国性认可机构。[1]

2．第1款的认证机构只有具备下列条件时，方应按照该款获得认可： （a）证明其对认证的内容具有独立性和专业性，并且得到主管监管机构的认可； （b）承诺遵守第42条第5款所述，并经主管监管机构根据第55条或第56条或者欧洲数据保护委员会根据第63条批准的标准； （c）制定了数据保护认证、印章和标记的签发、定期审查和撤销程序； （d）针对违反认证的行为或者对控制者或处理者过去或现在实施认证的方式的申诉，设置了处理程序和体系，并且将这些程序和体系面向数据主体与公众透明化； （e）证明其职责不会导致利益冲突，并且获得相关监管机构的认可。

3．本条第1款和第2款所述认证机构的认可，应由主管监管机构依照第55条或第56条或由欧洲数据保护委员会依照第63条批准的标准进行。在依照本条第1款（b）项认可时，这些要求是对765/2008/EC号条例中预设的要求以及陈述认证机构方法和程序的技术规则的补充。

4．除控制者或处理者为遵守本条例所承担的责任另有规定外，第1款所述认证机构应负责为认证或撤销认证进行适当评估。认证的最长期限为5年，在认可机构符合本条要求的情况下可以同样的条件续展。

5．第1款所述认证机构应向主管监管机构提供授予或撤销认证的理由。

6．本条第3款中的要求以及第42条第5款所述的标准，应由监管机构以便于查阅的方式公示。监管机构还应将这些要求和标准传达给欧洲数据保护委员会。欧洲数据保护委员会应对登记簿中的所有经过批准的认证机制和数据保护印章进行整理，并通过适当的方式向公众提供。

7．除第八章另有规定外，如果认证机构没有或者不再符合认可条件，或者认证机构采取的措施违反本条例的，主管监管机构或国家认证机构应依照本条第1款撤销对该认证机构的认可。

8．欧盟委员会应有权根据第92条通过授权法案，以对第42条第1款所述的数据保护认证机制的要求进行详细说明。

9．欧盟委员会可通过制定实施法案，规定认证机制和数据保护印章及标记的技术标准，以及促进和认可这些认证机制、印章和标记的机制。这些实施法案应按照第93条第2款中的审查程序通过。

对于正在处理中的个人数据或拟在传输到第三国或国际组织后进行处理的个人数据，在不违反本条例其他规定的前提下，控制者和处理者满足本章规定后方可传输，包括个人数据从第三国或国际组织再传输到其他第三国或国际组织。本章所有规定应当适用，以确保本条例所保障的对自然人的保护程度不受减损。

1．欧盟委员会决定第三国、第三国境内的地区或一个或多个特定行业、国际组织能够确保充分的保护程度的，可向该第三国或国际组织传输个人数据。该传输无须任何特别授权。

2．评估保护程度是否充分时，欧盟委员会尤其应当考虑下列因素： （a）法治，尊重人权和基本自由，一般和部门相关立法，包括有关公共安全、国防、国家安全、刑法和政府机关获取个人数据的相关立法，以及对此等立法的实施，数据保护规则，专业规则和安全措施，包括将个人数据再传输到其他第三国或国际组织的情况下该其他第三国或国际组织遵守的规则，判例法，以及个人数据被传输的数据主体有效、可强制执行的数据主体权利和有效的行政与司法赔偿； （b）第三国境内是否存在或是否存在约束国际组织的一个或多个独立监管机构以及是否有效运作，其负责确保并强制遵守数据保护规则，包括充分的执行权，协助数据主体行使权利及提供咨询，并与成员国的监管机构合作；及 （c）有关第三国或国际组织达成的国际承诺，或因具有法律约束力的公约或文件及参加多边或区域体系产生的其他义务，尤其是与个人数据保护有关的国际承诺或义务。

3．欧盟委员会在评估保护程度的充分性后，可通过颁布实施法案决定第三国、第三国境内地区或一个或多个特定行业、国际组织是否能够确保本条第2款所述的充分保护。实施法案应当规定至少每4年一次的定期审核机制，该机制应当将第三国或国际组织的所有相关发展考虑在内。实施法案应当明确其地域和部门适用范围，并在适当情况下指明本条第2款（b）项所述的监管机构。实施法案应当根据第93条第2款所述审查程序通过。

4．欧盟委员会应当持续监控第三国和国际组织是否有任何进展，可能影响按本条第3款通过的决议运行和基于95/46/EC号指令第25条第6款通过的决议。

5．有信息显示尤其是在进行本条第3款所述审核后发现第三国、第三国境内地区或一个或多个特定行业、国际组织不再确保本条第2款所指的充分保护的，欧盟委员会应当在必要范围内，通过颁布不具有追溯效力的实施法案撤销、修订或中止本条第3款所述决议。该等实施法案应当根据第93条第2款所述审查程序通过。

6．欧盟委员会应当与第三国或国际组织协商，以对引起第5款所述决议的情形作出补救。

7．根据本条第5款所作决议不影响个人数据根据第46条至第49条向有关第三国、第三国境内地区或一个或多个行业、国际组织的传输。

8．欧盟委员会应当在《欧盟官方公报》和其网站上公布其裁定能够确保或不再确保充分保护的第三国、第三国境内地区和特定行业及国际组织清单。

9．在欧盟委员会根据本条第3款或第5款通过修订、取代或废除决议前，欧盟委员会基于95/46/EC号指令第25条第6款通过的决议应当继续有效。

1．在没有根据第45条第3款所作决议的情况下，只有控制者或处理者已提供适当保障，并且数据主体可获得可强制执行的数据主体权利和有效法律救济的条件下，控制者或处理者方可向第三国或国际组织传输个人数据。

2．第1款所述的适当保障可由以下文件规定，无须监管机构特别授权： （a）政府机关或机构之间具有法律约束力、可强制执行的文件； （b）第47条规定的约束性企业规则规定； （c）欧盟委员会根据第93条第2款所述审查程序通过的标准数据保护条款； （d）监管机构通过且欧盟委员会根据第93条第2款所述审查程序批准的标准数据保护条款； （e）根据第40条批准的行为准则，以及第三国境内的控制者或处理者所作的适当保障并具有约束力和强制执行力的承诺，包括与数据主体权利有关的承诺；或 （f）根据第42条批准的认证机制，以及第三国境内的控制者或处理者所作的适当保障并具有约束力和强制执行力的承诺，包括与数据主体权利有关的承诺。

3．经主管监管机构授权，第1款中所述的适当保障尤其还可由以下文件规定： （a）控制者或处理者与第三国或国际组织内的控制者、处理者或个人数据接收者之间的合同条款；或 （b）在政府机关或机构之间的行政安排之间插入的包含可强制执行、有效的数据主体权利的规定。

4．对于本条第3款所述的情形，监管机构应当适用第63条所述的一致性机制。

5．成员国或监管机构基于95/46/EC号指令第26条第2款所作的授权，在被该监管机构修订、取代或废除（如有必要）前应当继续有效。欧盟委员会基于95/46/EC号指令第26条第4款通过的决议，在被根据本条第2款通过的欧盟委员会裁定修订、取代或废除（如有必要）前应当继续有效。

1．主管监管机构应当根据第63条规定的一致性机制批准约束性企业规则，前提是该等规则： （a）具有法律约束力，适用于企业集团或从事共同经济行为的企业团体内每个有关成员（包括其员工）并被其执行； （b）明确授予数据主体与其个人数据处理相关的可强制执行的权利；及 （c）满足第2款所述要求。

2．第1款所述约束性企业规则应当至少列明： （a）企业集团或从事共同经济行为的企业团体及其内部每个成员的结构和联系方式； （b）数据传输或一系列传输，包括个人数据的类别、处理的种类及目的、受影响的数据主体种类，并指明相关第三国； （c）其对内对外均具有法律约束力的性质； （d）一般数据保护原则的适用，尤其是目的限制、数据最小化、有限存储期间、数据质量、通过设计和默认情况下的数据保护、处理的法律依据、特殊类别个人数据的处理、确保数据安全的措施，及将个人数据再传输给不受约束性企业规则约束的机构的要求； （e）数据主体与处理相关的权利和行使该等权利的方式，包括不受仅基于自动化处理（包括根据第22条进行的数据画像）的决议约束，根据第79条向相关监管机构申诉并向成员国具有管辖权的法院起诉，以及就违反约束性企业规则的行为获得赔偿及（适当情况下）补偿等权利； （f）设立在欧盟境外的任何有关成员违反约束性企业规则的，由成员国范围内的控制者或处理者承担责任；控制者或处理者只有在证明该成员不对引起有关损害的事件负责的情况下，才能全部或部分免责； （g）除第13条和第14条以外，关于约束性企业规则的信息，尤其是关于本款（d）项、（e）项和（f）项所述规定的信息，是如何向数据主体提供的； （h）根据第37条任命的任何数据保护专员或负责监管约束性企业规则在企业集团或从事共同经济行为的企业团体内的遵守情况以及培训和申诉处理事宜的其他人或实体的职责； （i）申诉程序； （j）企业集团或从事共同经济行为的企业团体确保核实约束性企业规则遵守事宜的机制。该等机制应当包含数据保护审计和确保采取纠正措施保护数据主体权利的方法。核实结果应当告知（h）项所述的个人或实体和企业集团或从事共同经济行为的企业团体中有控制权企业的董事会，并在相关监管机构要求时向其提供； （k）汇报和记录规则变化并将规则变化汇报监管机构的机制； （l）与监管机构的合作机制，尤其是通过向监管机构提供（j）项所述措施的核实结果，以确保企业集团或从事共同经济行为的企业团体任何成员遵守约束性企业规则； （m）将企业集团或从事共同经济行为的企业团体在第三国应当遵守的、可能对约束性企业规则提供的保障具有重大不利影响的任何法律要求向相关监管机构汇报的机制；及 （n）向可永久或定期访问个人数据的人员进行适当的数据保护培训。

3．欧盟委员会可规定控制者、处理者和监管机构之间关于本条所指的约束性企业规则的信息交流格式和程序。该等实施法案应当根据第93条第2款所述审查程序通过。

要求控制者或处理者传输或披露个人数据的法院判决或仲裁庭裁决和第三国行政机关决定，只有基于提出请求的第三国与欧盟或欧盟成员国之间有效的国际条约（例如司法互助协定），且不影响本章规定的其他传输的基础上，才可以得到承认或执行。

1．若无第45条第3款规定的充分性决议或第46条规定的适当保障，包括约束性企业规则，满足下列条件之一的，方可向第三国或国际组织进行数据的传输或一系列传输： （a）在数据主体被告知因缺乏充分性决议和适当保障的情况下进行传输可能对其产生的风险后，数据主体明确同意传输； （b）为履行数据主体与控制者之间的合同或实施数据主体要求的先合同措施，有必要进行传输； （c）为订立或履行控制者与其他自然人或法人之间为了数据主体的利益订立的合同，有必要进行传输； （d）出于公共利益的重要原因，有必要进行传输； （e）为提起、行使或抗辩法律诉求，有必要进行传输； （f）对于因生理原因或法律原因无法给予同意的数据主体，为保护该数据主体或其他人的重大利益，有必要进行传输； （g）传输通过登记册进行，根据欧盟或成员国法律该登记册旨在向公众提供信息，可供一般公众或可以证明存在正当利益的任何人查阅，但仅限于满足欧盟或成员国法律规定的查阅条件范围内的特定情况。 若非基于第45条或第46条的规定（包括关于约束性企业规则的规定）进行传输，且本款第1小段特定情形下的豁免均不适用，则仅在下列情况下，可向第三国或国际组织传输：传输不重复、仅涉及有限的数据主体、为控制者追求重大合法利益的目的之必要，且该合法利益未被数据主体的利益或权利和自由超越，且控制者已评估所有与数据传输有关的情况，并已基于该评估提供有关个人数据保护的适当保障。控制者应当将传输通知监管机构。除了提供第13条和第14条所述信息外，控制者还应当通知数据主体有关传输的情况和所追求的重大合法利益。

2．根据第1款第1小段（g）项进行的传输，不得包含登记册内的全部个人数据或个人数据的所有类型。登记册供具有正当利益的人员查阅的，应当仅在这些人员的要求下或这些人员作为收件人的情况下传输。

3．第1款第1小段（a）项、（b）项、（c）项和第2小段不适用于政府机关为行使公共权力开展的活动。

4．第1款第1小段（d）项所述的公共利益，应当在欧盟法律或控制人受约束的成员国法律中予以承认。

5．在没有充分性决议的情况下，欧盟或成员国法律可以为了公共利益的重要原因，明确对特定类别的个人数据向第三国或国际组织传输设定限制。成员国应当将这些规定通知欧盟委员会。

6．控制者或处理者应当将本条第1款第2小段所述的评估以及适当的保障记录在第30条所指的记录中。

对于第三国和国际组织，欧盟委员会和监管机构应当采取适当措施： （a）制定国际合作机制，促进个人数据保护立法的有效执行； （b）在为个人数据和其他基本权利和自由的保护提供适当保障的前提下，在个人数据保护执法过程中提供国际互助，包括通过通知、申诉转介、调查协助和信息交流； （c）利益相关方参加旨在深化个人数据保护执法方面的国际合作讨论和活动； （d）促进个人数据保护立法和实践（包括与第三国的管辖权冲突）的交流和记录。

1．各成员国应当规定一个或多个独立政府机关（“监管机构”）负责监督本条例的适用，以保护自然人与数据处理相关的基本权利和自由，并促进个人数据在欧盟境内的自由流动。

2．各监管机构应当促进本条例在整个欧盟境内的一致适用。为此，监管机构应当根据第七章的规定相互合作，并与欧盟委员会相配合。

3．一个成员国境内设有多家监管机构的，该成员国应当指定一家监管机构，在欧洲数据保护委员会代表所有监管机构，并制定一项机制，确保其他机构遵守与第63条所述一致性机制相关的规则。

4．各成员国应当于2018年5月25日之前将其依据本章通过的法律规定通知欧盟委员会，并将对这些法律规定有影响的任何后续修订及时通知欧盟委员会。

1．各监管机构在根据本条例履行职责和行使权力时应当保持完全的独立性。

2．各监管机构成员在根据本条例履行职责和行使权力时应当不受外部的直接或间接影响，也不得寻求或接受任何人的指示。

3．各监管机构成员不得从事与其职责冲突的任何行为，也不得在任职期间从事与其职业冲突的任何职业，无论是否有报酬。

4．各成员国应当确保各监管机构获得有效履行职责和行使权力（包括在欧盟数据保护委员会内的互助、合作和参与）所需的人力、技术和财务资源、场所和基础设施。

5．各成员国应当确保各监管机构有权自主选择并配备自己的员工而不受外来影响。

6．各成员国应当确保各监管机构所受的财务控制不影响其独立性，并且具有单独、公开的年度预算，该预算可以是州或国家总体预算的一部分。

1．成员国应当规定监管机构各成员由下列机构通过透明程序委任： ——议会； ——政府； ——国家元首；或 ——成员国法律授权的独立机构

2．各成员应当具备履行职责和行使权力所需的资质、经验和技能，尤其是个人数据保护方面的资质、经验和技能。

3．根据有关成员国法律，成员的职责在任期届满、辞职或强制退休时结束。

4．成员仅在有严重不当行为或不再满足履行职责所需条件时可被免职。

1．各成员国应当通过法律方式对如下所有内容作出规定： （a）各监管机构的设立； （b）拟委任的各监管机构成员应当具备的资质和资格条件； （c）委任各监管机构成员的规则和程序； （d）各监管机构成员任期不少于4年，若首次委任是在2016年5月24日后，出于保护监管机构独立性的必要，可通过交错委任的方式使部分成员缩短部分任期。 （e）各监管机构成员是否可以连任以及可以连任几届； （f）关于各监管机构成员和员工义务的条件、行为限制、任期内和任期结束后与其义务冲突的职业和利益以及关于雇用终止的规则。

2．各监管机构成员和员工对于其在履行职责或行使权力的过程中获知的任何保密信息，应当根据欧盟或成员国法律在其任期内及任期结束后遵守职业保密义务。在其任期内，职业保密义务应当尤其适用于自然人汇报违反本条例的任何行为。

1．各监管机构有权在其所属成员国管辖区域内履行本条例规定的职责，行使本条例赋予的权利。

2．政府机关或私人实体基于第6条第1款（c）项或（e）项进行处理的，由有关成员国主管监管机构管辖。在该等情形下，第56条不适用。

3．监管机构无权监督法院行使司法权进行的处理操作。

1．在不违反第55条的情况下，控制者或处理者根据第60条所述程序进行跨境数据处理的，由该控制者或处理者主营业场所或唯一营业场所的监管机构担任主监管机构。

2．作为第1款规定的豁免，各监管机构对于向其提交的申诉或可能违反本条例的行为，若标的事项仅与其所属成员国的一个营业场所相关或仅严重影响其所属成员国境内的数据主体，由该监管机构处理。

3．发生本条第2款所述情形的，监管机构应当立即通知主监管机构。主监管机构在收到通知后3周内，结合控制者或处理者在履行通知义务的监管机构所在的成员国是否有营业场所，决定其是否将根据第60条所述程序处理。

4．主监管机构决定受理的，应当适用第60条规定的程序。通知主监管机构的监管机构可向主监管机构提交一份决议草案。主监管机构在准备第60条第3款所述决议草案时应当尽量重视该草案。

5．主监管机构决定不予受理的，通知主监管机构的监管机构应当根据第61条和第62条的规定处理。

6．在控制者或处理者进行的跨境处理中，主监管机构应当作为该控制者或处理者的唯一问询方。

1．在不违反第55条的情况下，控制者或处理者根据第60条所述程序进行跨境数据处理的，由该控制者或处理者主营业场所或唯一营业场所的监管机构担任主监管机构。 2．作为第1款规定的豁免，各监管机构对于向其提交的申诉或可能违反本条例的行为，若标的事项仅与其所属成员国的一个营业场所相关或仅严重影响其所属成员国境内的数据主体，由该监管机构处理。 3．发生本条第2款所述情形的，监管机构应当立即通知主监管机构。主监管机构在收到通知后3周内，结合控制者或处理者在履行通知义务的监管机构所在的成员国是否有营业场所，决定其是否将根据第60条所述程序处理。 4．主监管机构决定受理的，应当适用第60条规定的程序。通知主监管机构的监管机构可向主监管机构提交一份决议草案。主监管机构在准备第60条第3款所述决议草案时应当尽量重视该草案。 5．主监管机构决定不予受理的，通知主监管机构的监管机构应当根据第61条和第62条的规定处理。 6．在控制者或处理者进行的跨境处理中，主监管机构应当作为该控制者或处理者的唯一问询方。 第57条 职责 1．在不影响本条例项下其他职责的前提下，各监管机构应当在其管辖区内： （a）监督、执行本条例的适用； （b）提高公众对与处理相关的风险、规则、保障和权利的认识和理解。专为儿童举办的活动应当特别关注； （c）根据成员国法律，将针对保护自然人与处理相关的权利和自由的立法和行政措施通知国会、政府和其他机关和机构； （d）提高控制者和处理者对其在本条例项下义务的认识； （e）应数据主体要求，向其提供与本监管机构在本条例项下行使权利相关的信息，以及在适当时为此目的与其他成员国的监管机构合作； （f）处理数据主体或机构、组织、协会根据第80条提交的申诉，在适当范围内调查申诉事项，并在合理期间内告知申诉人调查的进展和结果，尤其是是否有必要进一步调查或与其他监管机构协调； （g）与其他监管机构合作，包括分享信息和互相协助，以确保本条例适用和执行的一致性； （h）调查本条例的适用，包括基于其他监管机构或其他政府机关提供的信息进行调查； （i）监督对个人数据保护有影响的相关进展，尤其是信息与通信技术和商业实践的进展； （j）采用第28条第8款和第46条第2款（d）项所述的标准合同条款； （k）制定并维持第35条第4款所述关于数据保护影响评价要求的清单； （l）就第36条第2款所述处理操作提出建议； （m）鼓励根据第40条第1款起草行为准则，提出意见并批准根据第40条第5款提供了充分保障的行为准则； （n）鼓励根据第42条第1款设立数据保护认证机制和数据保护印章与标记，并批准根据第42条第5款建立的认证标准； （o）适当情况下，定期审核根据第42条第7款签发的认证； （p）起草并公布第41条规定的行为准则监督机构及第43条规定的认证机构的认证标准； （q）根据第41条对行为准则监督机构进行认可，根据第43条对认证机构进行认可； （r）对第46条第3款所述的合同条款和规定作出授权； （s）批准根据第47条制定的约束性企业规则； （t）参与欧盟数据保护委员会的活动； （u）对违反本条例的行为和根据第58条第2款采取的措施保留内部记录；及 （v）履行与个人数据保护相关的其他职责。

2．各监管机构应当为第1款（f）项所述申诉的提交提供便利，例如以电子方式提交申诉，但不排除其他通信方式的使用。

3．各监管机构履行职责应当对数据主体免费，适当情况下，对数据保护专员也应当免费。

4．请求明显无根据或过分的，尤其是请求重复的，监管机构可基于行政成本收取合理费用，或拒绝对请求作出回应。请求明显无根据或过分的证明责任，由监管机构承担。

1．各监管机构对下列所有事项具有调查权： （a）命令控制者和处理者，并可在适当情况下，命令控制者或处理者的代表提供监管机构履行职责所需的任何信息； （b）以数据保护审计的方式开展调查； （c）审核根据第42条第7款签发的认证； （d）将涉嫌违反本条例的行为通知控制者或处理者； （e）向处理者和控制者取得所有个人数据的查阅权与履行职责所需的所有信息的查阅权； （f）根据欧盟或成员国程序法规定，进出控制者和处理者任何场所的进出权，包括使用任何数据处理设备和工具。

2．各监管机构对下列各事项有权进行纠正： （a）拟进行的处理操作可能违反本条例规定的，对控制者或处理者予以警告； （b）处理操作已经违反了本条例规定的，对控制者或处理者予以谴责； （c）命令控制者或处理者遵守数据主体根据本条例行使权利的要求； （d）适当情况下，命令控制者或处理者在特定期间内以特定方式使处理操作符合本条例的规定； （e）命令控制者将个人数据泄露情况告知数据主体； （f）颁发临时或确定性限制，包括处理禁令； （g）根据第16条、第17条和第18条的规定，命令更正或删除个人数据或限制处理，并根据第17条第2款和第19条将该等行动通知个人数据的接收者； （h）根据第42条和第43条撤销或命令认证机构撤销签发的认证，或者在未满足或不再满足认证条件时，命令认证机构不予签发认证； （i）视个案具体情况，根据第83条给予行政罚款，作为本款规定的处罚措施的补充或者替代； （j）命令暂停向第三国境内的接收者或国际组织传输数据。

3．各监管机构对下列所有事项具有授权和咨询权： （a）根据第36条所述的事先咨询程序向控制者提供咨询； （b）就个人数据保护事宜，自行或应要求向国会、成员国政府出具意见，或根据成员国法律向其他机构、实体和公众出具意见； （c）如果成员国法律要求事先授权，对第36条第5款所述的数据处理给予授权； （d）根据第40条第5款对行为准则草案提出意见并予以批准； （e）根据第43条认可认证机构； （f）根据第42条第5款签发认证并批准认证标准； （g）通过第28条第8款和第46条第2款（d）项所述的标准数据保护条款； （h）对第46条第3款（a）项所述的合同条款给予授权； （i）对第46条第3款（b）项所述的行政安排给予授权； （j）批准第47条所述的约束性企业规则。

4．监管机构根据本条履行被赋予的权力不得违反适当保障措施，包括欧盟和成员国法律根据宪章规定的有效的司法救济和正当程序。

5．各成员国应当通过法律的形式规定其监管机构应当有权将违反本条例的行为提交司法机关处理，并在适当情况下启动或以其他方式参与法律程序，以执行本条例的规定。

6．各成员国可通过法律的形式规定其监管机构应当具有第1款、第2款和第3款所述权力以外的其他权力。行使该等权力不得损害第七章的有效实施。

各监管机构应当起草年度活动报告，该报告可包含通知的侵权种类清单和根据第58条第2款的规定采取的措施种类。该等报告应当送交国会、政府和成员国法律指定的其他机关。该等报告还应当可供公众、欧盟委员会和欧洲数据保护委员会查阅。

1．主监管机构应当根据本条规定与其他有关监管机构合作，努力达成共识。主监管机构与有关机构应当互相交流所有相关信息。

2．主监管机构可在任何时间要求其他有关监管机构根据第61条提供互助，并可根据第62条开展共同操作，尤其是为开展调查或对其他成员国的控制者或处理者实施有关措施的情况进行监督。

3．主监管机构应当及时将事项的相关信息告知其他有关监管机构。主监管机构应当及时向其他有关监管机构提交一份决议草案，征求其意见并充分考虑其意见。

4．其他有关监管机构在收到本条第3款所述的咨询后4周内对决议草案提出相关且合理的异议的，如主监管机构不认同该异议，或认为该异议无关或不合理，应当按第63条所述的一致性机制处理。

5．主监管机构拟接受相关且合理异议的，应当向其他有关监管机构提交一份修订后的决议草案征求其意见。修订后的协议草案应当按第四款所述程序在两周内处理。

6．其他有关监管机构未在第4款和第5款所述期间内对主监管机构提交的协议草案提出异议的，应视为主监管机构和有关监管机构就该协议草案达成一致并受其约束。

7．主监管机构应当通过该决议，将该决议通知控制者或处理者的主营业场所或唯一营业场所，并视情况告知其他有关监管机构和欧洲数据保护委员会，包括相关事实概要和依据。收到申诉的监管机构应当将决议告知申诉人。

8．除第7款另有规定外，申诉被驳回或拒绝的，收到申诉的监管机构应当通过决议，将其通知申诉人并告知相关控制人。

9．主监管机构和有关监管机构同意驳回或拒绝申诉的一部分但处理其他部分的，应当对该事项的各相关部分分别通过决议。主监管机构应当就涉及控制者行动的部分通过决议，将其通知所属成员国范围内的控制者或处理者的主要营业场所或营业场所并告知申诉人。而申诉人的监管机构应当就被驳回或拒绝的部分通过决议，将其通知申诉人并告知相关控制者或处理者。

10．在收到主监管机构根据第7款和第9款作出的决议后，控制者或处理者应当采取必要措施确保其在欧盟境内的所有营业机构的处理活动均遵守该决议。控制者或处理者应当将为遵守该决议所采取的措施通知主监管机构，主监管机构应当将该等措施告知其他有关监管机构。

11．在豁免情况下，有关监管机构有理由认为有紧急必要采取行动以保护数据主体利益的，应适用第66条所述的紧急程序。

12．主监管机构和其他有关监管机构应当使用标准化格式以电子形式进行互相提供本条项下所要求的信息。

1．为本条例实施和适用的一致性，监管机构应当互相提供相关信息和协助，并将互相有效合作的措施落实到位。互助尤其应当涵盖信息请求和监管措施，例如进行事先授权和咨询、检查和调查的请求。

2．各监管机构在收到其他监管机构的请求后，应当及时且最迟不超过1个月，采取所需的所有适当措施作出回应。该等措施可能特别包含与开展调查相关的信息的传输。

3．互助请求应当包含所有必要信息，包括请求的目的和原因。交流的信息应当仅用于请求所述之目的。

4．收到请求的监管机构不得拒绝遵从请求事项，除非： （a）请求内容或请求执行的措施不在其管辖权限内； （b）遵守请求会导致其违反本条例或收到请求的监管机构受约束的欧盟或成员国法律。

5．收到请求的监管机构应当将结果或为回应请求所采取的措施的进展（视情况而定）告知提出请求的监管机构。收到请求的监管机构应当根据第4款说明拒绝请求的原因。

6．收到请求的监管机构通常应当使用标准化格式以电子形式提供其他监管机构所请求的信息。

7．收到请求的监管机构不得就其按照互助请求采取的任何措施收取费用。对于豁免情况下提供互助所产生的特定支出，监管机构可约定互相补偿规则。

8．如监管机构在收到其他监管机构的请求后1个月内未提供本条第5款所述信息，提出请求的监管机构可根据第55条第1款在其所属成员国范围内通过一项临时措施。应当推定此情形满足第66条第1款项下采取行动的紧急必要，且欧洲数据保护委员会应当根据第66条第2款作出一份紧急而又有约束力的决议。

9．欧盟委员会可通过实施法案的方式，对本条所述互助的格式和程序以及监管机构之间和监管机构与欧洲数据保护委员会之间以电子形式（尤其是本条第6款所述的标准化格式）交流信息的安排作出规定。实施法案应当根据第93条第2款所述审查程序通过。

1．适当情况下，监管机构应当开展联合操作，包括由其他成员国监管机构的成员或员工共同参与的联合调查和联合执法措施。

2．控制者或处理者在多个成员国设立机构的，或在一个以上成员国有相当多的数据主体可能受到处理操作的实质性影响的，各相关成员国的监管机构应当有权参与联合操作。根据第56条第1款或第4款具有管辖权限的监管机构应当邀请各有关成员国的监管机构参与联合操作，并且应当及时回应监管机构的参与请求。

3．监管机构可根据成员国法律，并经辅助监管机构授权，赋予辅助监管机构参与联合操作的成员或员工包括调查权在内的权力，或在牵头监管机构所属成员国法律允许的范围内，允许辅助监管机构的成员或员工根据辅助监管机构所属成员国的法律行使调查权。该等调查权仅可在牵头监管机构成员或员工的指导下和在场的情况下行使。辅助监管机构的成员或员工应当受牵头监管机构所属成员国法律的约束。

4．根据第1款，辅助监管机构的员工在其他成员国开展操作的，牵头监管机构所属成员国应当根据操作地区所在成员国的法律为该等员工的行为负责，包括该等员工在操作期间引起的任何损害。

5．对由自己员工引起的损害，发生损害的地区所在的成员国应当对损害作出赔偿。辅助监管机构的员工造成其他成员国地区内任何人损害的，该辅助监管机构所属成员国应当全额补偿其他成员国已代表其向被损害人支付的金额。

6．除第三方权利行使及第5款另有规定外，对于第1款规定的情形，各成员国不得就第4款所述的损害要求其他成员国赔偿。

7．拟进行联合操作且监管机构未在1个月内遵守本条第2款第二小段所述义务的，其他监管机构可根据第55条在其所属成员国范围内通过一项临时措施。应当推定此情形满足第66条第1款项下采取行动的紧急必要，且欧洲数据保护委员会应当根据第66条第2款作出一份紧急而又有约束力的决议。

为促进本条例在整个欧盟范围内的一致适用，监管机构应当通过本节规定的一致性机制互相合作，并在适当时与欧盟委员会进行合作。

1．主管监管机构拟通过下列任何措施的，欧洲数据保护委员会应当发表相关意见。为此，在下列情形下，主管监管机构应当将决议草案发送给欧洲数据保护委员会： （a）拟通过第35条第4款所述的须进行数据保护影响评估的处理操作清单；（b）涉及第40条第7款规定的事项，即对行为准则草案或对行为准则的修订或延伸是否符合本条例进行判断； （c）拟批准第41条第3款规定的机构认可标准或第43条第3款规定的认可机构； （d）拟确定第46条第2款（d）项和第28条第8款所述的标准数据保护条款； （e）拟对第46条第3款（a）项所述的合同条款作出授权；或 （f）拟批准第47条所述的约束性企业规则。

2．任何监管机构、欧洲数据保护委员会主席或欧盟委员会可要求欧洲数据保护委员会对普遍适用的事项或在一个以上成员国内产生效力的事项进行审查以征求其意见，尤其是在主管监管机构未履行第61条规定的互助义务或第62条规定的联合操作义务时。

3．在第1款和第2款所述情形下，如果欧洲数据保护委员未曾就相同事项出具意见，则其就应当就向其提交的事项发表意见。该意见应当在8周内由欧洲数据保护委员会的成员以简单多数通过。如果事项比较复杂，则该期间可延长6周。根据第5款将第1款所述的决议草案分发给欧洲数据保护委员会成员后，成员在主席指定的合理期间内未提出异议的，应当视为同意决议草案。

4．监管机构和欧盟委员会应当及时以电子化的标准形式向欧洲数据保护委员会传达有关信息，该等信息视情况应当包括事实概述、决议草案、颁发必要措施的依据以及其他有关监管机构的意见。

5．欧洲数据保护委员会主席应当及时以电子形式： （a）使用标准化格式将其收到的任何有关信息告知欧洲数据保护委员会成员和欧盟委员会。欧洲数据保护委员会秘书处在必要时应当为有关资料提供翻译；及 （b）将意见告知第1款和第2款提及的（视情况而定）监管机构和欧盟委员会，并予以公开。

6．主管监管机构不得在第3款规定期间内通过第1款所述的决议草案。

7．第1款提及的监管机构应当充分考虑欧洲数据保护委员会的意见，并且应当在收到意见后两周内，使用电子化的标准形式将是否维持或修订决议草案的意见传达给欧洲数据保护委员会主席，并同时提供修订后的决议草案（如有）。

8．有关监管机构在本条第7款规定期间内告知欧洲数据保护委员会主席其不打算接受欧洲数据保护委员会全部或部分意见并提供相关理由的，应适用第65条第1款。

1．为确保本条例在个案中的准确和一致适用，在下列情形中，欧洲数据保护委员会应通过约束性决议： （a）在第60条第4款所述情形中，有关监管机构对主监管机构的决议草案提出相关的合理异议，或主监管机构认为该异议无关或不合理而拒绝的。约束性决议应当涵盖作为相关与合理异议主题的所有事项，尤其是关于是否违反本条例的相关事项； （b）关于对主营业场所有管辖权限的有关监管机构持不同意见的； （c）在第64条第1款所述情形中，主管监管机构未征求欧洲数据保护委员会意见的，或未接受欧洲数据保护委员会根据第64条出具的意见的。在此情形下，任何有关监管机构或欧盟委员会可将该事项告知欧洲数据保护委员会。

2．第1款所述的决议应当在主题事项提交后1个月内由欧洲数据保护委员会成员以2/3多数通过。如事项较为复杂，则该期间可延长1个月。第1款所述的决议应当列明理由，并发送给主监管机构和所有有关监管机构，该决议对主监管机构和所有有关监管机构均具有约束力。

3．欧洲数据保护委员会无法在第2款规定的期间内通过决议的，其应当在第2款所述的第2个月期满后的两周内以简单多数通过决议。欧洲数据保护委员会支持与反对通过决议的成员人数相等的，则是否通过该决议应取决于主席的投票。

4．对于第1款项下提交欧洲数据保护委员会的主题事项，有关监管机构不得在第2款和第3款所述期间内就其通过决议。

5．欧洲数据保护委员会主席应当及时将第1款所述的决议通知有关监管机构，并应当将该决议告知欧盟委员会。监管机构将第6款所述的最终决议通知相关方后，应当在欧洲数据保护委员会的网站上公布该决议。

6．主监管机构或收到申诉的监管机构（视情况而定）应当及时且最迟不晚于欧洲数据保护委员会将本条第1款所述的决议告知其之后1个月内，基于该决议通过最终决议。主监管机构或收到申诉的监管机构（视情况而定）应当将分别通知控制者或处理者和数据主体最终决议的日期告知欧洲数据保护委员会。有关监管机构的最终决议应当根据第60条第7款、第8款和第9款的条款通过。最终决议应当参照本条第1款所述的决议，并载明该款所述决议将根据本条第5款的规定公布在欧洲数据保护委员会的网站上。最终决议应当附上本条第1款规定的决议。

1．在例外情况下，有关监管机构为了保护数据主体的权利和自由，认为有采取行动的迫切需要的，可适当放松第63条、第64条和第65条所述的一致性机制或第60条所述的程序要求，并可立即通过临时措施，以在特定有效期内（不得超过3个月）在其管辖地域内产生法律效力。监管机构应当及时向其他有关监管机构、欧洲数据保护委员会和欧盟委员会传达该等措施及通过该等措施的原因。

2．监管机构已经根据第1款采取措施并认为迫切需要通过最终措施的，可要求欧洲数据保护委员会发布紧急意见或紧急约束性决议，并说明提出此要求的原因。

3．有采取行动的迫切需要但主管监管机构未采取适当措施的，任何监管机构可要求欧洲数据保护委员会发布紧急意见或紧急约束性决议（视情况而定），以保护数据主体的权利和自由，并说明提出此要求的原因，包括迫切需要采取行动的原因。

4．作为第64条第3款和第65条第2款的例外，本条第2款和第3款所述的紧急意见或紧急约束性决议应由欧洲数据保护委员会成员在两周内以简单多数通过。

欧盟委员会可通过适用于所有成员的实施细则，对监管机构之间和监管机构与欧洲数据保护委员会之间以电子形式（尤其是第64条所述的标准化格式）交流信息的安排作出规定。 实施细则应根据第93条第2款所述审查程序审查通过。

1．欧洲数据保护委员会作为欧盟机构设立，具有法律人格。

2．欧洲数据保护委员会由其主席代表。

3．欧洲数据保护委员会由各成员国监管机构和欧洲数据保护监督机构的负责人或其各自派遣的代表组成。

4．根据本条例相关规定，如果在一个成员国有一家以上监管机构负责对本条例实施进行监管的，应当根据该成员国法律委派一名共同代表。

5．欧盟委员会有权列席欧洲数据保护委员会的活动和会议，但是欧盟委员会在会议中不具有表决权。欧盟委员会应当指定一名代表。欧洲数据保护委员会的主席应向欧盟委员会传达欧洲数据保护委员会的活动。

6．在第65条所述的情形下，只有在对适用于欧盟相关机构、实体、办事处和代理机构的原则和规则通过决议且该等原则和规则在实质上与本条例中的相关原则和规则相符的情况下，欧洲数据保护监督机构才有投票权。

1．欧洲数据保护委员会在根据第70条和第71条履行职责或行使权力时应当保持独立性。

2．在不影响欧盟委员会提出第70条第1款（b）项和第70条第2款所述要求的前提下，欧洲数据保护委员会在履行职责或行使权力时不得寻求或接受任何人的指示。

1．欧洲数据保护委员会应当确保本条例的一致适用。为此，欧洲数据保护委员会应当主动或在适当时应欧盟委员会的要求，尤其是： （a）在第64条和第65条规定的情况下，监督并确保本条例的正确适用，但不得影响国家监管机构履行职责； （b）就欧盟境内数据保护相关问题（包括对本条例任何修订的提议）向欧盟委员会提供建议； （c）就控制者、处理者和监管机构之间关于约束性企业规则的信息交流格式和程序向欧盟委员会提出建议； （d）对于按第17条第2款删除向公众公开的通信服务中的个人数据链接、复本或复制件的程序，发布指引、建议或最佳实践范例； （e）主动应其成员的要求或欧盟委员会的要求审查关于本条例适用的任何问题，或发布指引、建议和最佳实践范例以促进本条例的一致适用； （f）根据本款（e）项发布指引、建议和最佳实践范例，进一步明确第22条第2款基于画像作出决议的标准和条件； （g）根据本条（e）项发布指引、建议和最佳实践范例，确定违反个人数据泄露和第33条第1款和第2款所述的不当延误，以及控制者或处理者须通知个人数据泄露的具体情形； （h）对第34条第1款所述个人数据泄露可能对自然人的权利和自由产生较高风险的情形，根据本条（e）项发布指引、建议和最佳实践范例。 （i）根据本款（e）项发布指引、建议和最佳实践范例，进一步明确基于控制者遵循的约束性企业规则和处理者遵循的约束性企业规则传输个人数据的标准和要求，以及为确保第47条所述有关数据主体个人数据保护的其他必要要求； （j）根据本款（e）项发布指引、建议和最佳实践范例，进一步明确基于第49条第1款传输个人数据的标准和要求； （k）就第58条第1款、第2款和第3款措施的适用和第83条行政罚款的设置方面为监管机构起草指引； （l）对（e）项和（f）项所述的指引、建议和最佳实践范例的实际实施进行审查； （m）根据本条（e）项发布指引、建议和最佳实践范例，建立自然人根据第54条第2款汇报违反本条例行为的通用程序； （n）鼓励根据第40条起草行为准则，根据第42条设立数据保护认证机制和数据保护印章与标记制度； （o）根据第43条认证机构进行认可并进行定期审核，建立第43条第6款获认可机构的公开登记簿及第42条第7款所述在第三国境内建立的获认可控制者或处理者的公开登记簿； （p）为第42条项下认证机构进行认可的目的，明确第43条第3款所述的要求； （q）就第43条第8款所述的认证要求向欧盟委员会提供意见； （r）就第12条第7款所述的图标向欧盟委员会提供意见； （s）就第三国或国际组织保护程度的充分性评估向欧盟委员会提供意见，包括评估第三国、第三国境内的地区或一个或多个特定行业、国际组织的保护程度是否不再满足充分性要求。为此，欧盟委员会应当向欧洲数据保护委员会提供与该第三国、地区或特定行业、国际组织有关的所有必要文件，包括与第三国政府之间的通信往来。 （t）就监管机构按第64条第1款一致性机制作出的决议草案和根据第64条第2款提交的事项出具意见，并根据第65条发布约束性决议，包括第66条所述的情形； （u）促进监管机构之间的合作以及关于信息和最佳实践范例的有效双边和多边交流； （v）推广监管机构之间的共同培训项目，促进监管机构之间的人才交流，并在适当时促进监管机构与第三国的监管机构之间或与国际组织之间的共同培训项目和人才交流； （w）促进与世界范围的数据保护监管机构之间关于数据保护立法和实践的知识和文件的交流； （x）就第40条第9款所述在欧盟层面起草的行为准则出具意见；及 （y）对于监管机构和法院按一致性机制处理的问题的决议，建立一份电子登记簿，供公众查阅。

2．欧盟委员会向欧洲数据保护委员会征求意见时，可在考虑事项的紧急程度情况下，设定一个时间期限。

3．欧洲数据保护委员会应当将其意见、指引、建议和最佳实践范例转发给欧盟委员会和第93条提及的委员会，并予以公布。

4．欧洲数据保护委员会在适当时应当咨询利益相关方，并给予其机会在合理期间内发表意见。在不影响第76条的前提下，欧洲数据保护委员会应当将咨询程序的结果进行公开。

1．欧洲数据保护委员会应当起草在欧盟境内及相关第三国和国际组织内处理个人数据方面的自然人保护年度报告。报告应当公布并发送给欧洲议会、欧盟理事会和欧盟委员会。

2．年度报告应当对第70条第1款（l）项所述的原则、建议和最佳实践范例以及第65条所述的约束性决议进行评述。

1．除非本条例另有规定，欧洲数据保护委员会以其成员简单多数通过决议。

2．欧洲数据保护委员会的议事规则以2/3成员表决通过，并组织本委员会的运行安排。

1．除非本条例另有规定，欧洲数据保护委员会以其成员简单多数通过决议。

2．欧洲数据保护委员会的议事规则以2/3成员表决通过，并组织本委员会的运行安排。

1．主席具有如下职责： （a）召集欧洲数据保护委员会会议并准备会议议程； （b）将欧洲数据保护委员会依照第65条通过的决议通知主监管机构和有关监管机构； （c）确保及时履行欧洲数据保护委员会的工作，特别是第63条规定的有关一致性机制的事项。

2．欧洲数据保护委员会应当在议事规则中规定主席和副主席之间的工作分配。

1．欧洲数据保护委员会应当设有秘书处，由欧洲数据保护监督机构设立。

2．秘书处按照欧洲数据保护委员会主席的指令履行工作。

3．欧洲数据保护监督机构的工作人员中，从事本条例规定的欧洲数据保护委员会工作的工作人员与从事欧洲数据保护监督机构工作的工作人员应遵从不同的汇报程序。

4．适当情况下，欧洲数据保护委员会和欧洲数据保护监督机构应当制定并公布实施本条规定的谅解备忘录，确定其合作的条款，该备忘录适用于从事本条例规定的欧洲数据保护委员会工作的欧洲数据保护监督机构工作人员。

5．秘书处应当向欧洲数据保护委员会提供分析、行政及后勤支持。

6．秘书处特别应当负责下列事项： （a）欧洲数据保护委员会的日常工作； （b）欧洲数据保护委员会、其主席和欧盟委员会成员间的交流； （c）与其他机构和公众的交流； （d）在内部和外部交流中使用电子形式； （e）相关资料的翻译； （f）欧洲数据保护委员会会议的筹备和跟进； （g）准备、起草和发布关于监管机构之间争议解决的意见、决议及欧洲数据保护委员会通过的其他文本。

1．按照欧洲数据保护委员会议事规则的规定，欧洲数据保护委员会的讨论在其认为必要时应当保密。

2．提交给欧洲数据保护委员会成员、专家和第三国代表的文件的查阅应适用欧洲议会和欧盟理事会1049/2001/EC号条例。

1．除任何其他行政或司法救济另有规定外，如数据主体认为对其个人数据的处理违反本条例，有权向监管机构申诉，特别是向其经常居住地、工作地或涉嫌违法行为地所在成员国的监管机构申诉。

2．接受申诉的监管机构应将申诉进程和结果，包括依照第78条采取司法救济的可能性告知申诉人。

1．除任何其他行政或非司法救济另有规定外，各自然人或法人均有权对监管机构作出的与其相关的具有法律约束力的决议获得有效司法救济。

2．除任何其他行政或非司法救济另有规定外，如依照第55条和第56条具有管辖权的监管机构没有处理申诉或者没有在3个月内将依照第77条提出的申诉的进程或结果告知数据主体的，每一位数据主体均有权获得有效的司法救济。

3．针对监管机构的诉讼应向监管机构设立地的成员国法院提起。

4．针对监管机构决议提起的诉讼，如欧洲数据保护委员会在该决议之前通过一致性机制曾作出意见或决议，则监管机构应将该意见或决议提交法院。

1．除第77条向监管机构申诉的权利在内的可以获得的任何行政或非司法救济另有规定外，如数据主体认为由于对其个人数据的处理不符合本条例而导致其在本条例项下的权利受到侵犯的，其有权获得有效的司法救济。

2．针对控制者或处理者的诉讼应向控制者或处理者设有营业场所的成员国法院提起。除控制者或处理者是成员国行使公共权力的政府机构外，该诉讼也可以向数据主体经常居住地所在成员国法院提起。

1．除第77条向监管机构申诉的权利在内的可以获得的任何行政或非司法救济另有规定外，如数据主体认为由于对其个人数据的处理不符合本条例而导致其在本条例项下的权利受到侵犯的，其有权获得有效的司法救济。

2．针对控制者或处理者的诉讼应向控制者或处理者设有营业场所的成员国法院提起。除控制者或处理者是成员国行使公共权力的政府机构外，该诉讼也可以向数据主体经常居住地所在成员国法院提起。

1．如具有管辖权的成员国法院知悉同一控制者或处理者的同一处理事项在另一成员国法院的诉讼悬而未决的，其应与该另一成员国的法院联系确认是否存在该诉讼。

2．如同一控制者或处理者的同一处理事项在另一成员国法院的诉讼悬而未决的，除最先受理的法院外，任何其他具有管辖权的法院可中止诉讼程序。

3．如上述悬而未决的诉讼在一审程序中，最先受理的法院对这些诉讼享有管辖权并且其法律允许合并审理的，除了最先受理案件的法院之外，其他法院也可依任何一方当事人的申请拒绝行使管辖权。

1．由于违反本条例的行为而遭受重大或非重大损害的任何人均有权就所受到的损害从控制者或处理者处获得赔偿。

2．参与处理的任何控制者均应对违反本条例的处理行为导致的损害承担责任。处理者仅在其没有遵守本条例对处理者义务的具体规定，或者超出或违背控制者合法指令的情况下，才对处理行为引起的损害承担责任。

3．控制者或处理者如果能够证明其对引起损害的事件没有任何责任，则应免于承担本条第2款规定的责任。

4．如果一个以上的控制者或处理者，或者控制者和处理者两者均参与同一项处理，且他们根据第2款和第3款对处理造成的损害负有责任的，为了确保对数据主体的有效赔偿，各控制者或处理者均应对全部损害承担责任。

5．如果控制者或处理者已经按照第4款全额赔偿了数据主体所遭受的损害，该控制者或处理者有权根据第2款中规定的条件，向参与同一处理行为的其他控制者或处理者主张他们各自对损害应承担的相应部分的赔偿。

6．行使获取赔偿权利的诉讼程序应向根据第79条第2款中所述的成员国法律具有管辖权的法院提起。

1．各监管机构应确保依照本条对违反本条例行为处以的第4款、第5款和第6款中所述的行政罚款，在个案中有效、与违反本条例的行为相称并具有惩戒性。

2．根据个案具体情况，行政罚款应作为第58条第2款（a）项至（h）项和（j）项中所述措施的补充或者替代性措施。在具体个案中确定是否处以行政罚款及罚款数额时，应适当注意下列各方面： （a）违法行为的性质、严重程度和持续期间，还应考虑相关处理行为的性质、范围或目的以及受影响数据主体的数量及所遭受损害的程度； （b）违法行为的故意或过失的性质； （c）控制者或处理者为减少数据主体遭受的损害而采取的措施； （d）控制者或处理者的责任程度，但应考虑其依照第25条和第32条实施的技术和组织措施； （e）控制者或处理者以前的相关违法行为； （f）为了补救违法行为并减少违法行为可能产生的不利影响而与监管机构的配合程度； （g）受到违法行为影响的个人数据的类别； （h）监管机构获知违法行为的方式，尤其是控制者或处理者是否通知该违法行为，如已通知，通知违法行为的范围； （i）如果曾对控制者或处理者就同样的情况采取过第58条第2款所述措施，相关控制者或处理者对这些措施的遵守情况； （j）对依照第40条批准的行为准则或依照第42条批准的认证机制的遵守情况； （k）适用于案件情况的其他加重或减轻因素，例如因违法行为直接或间接获得的经济利益或避免的损失。

3．如果控制者或处理者在相同或相关的处理操作中故意或因过失违反本条例的若干规定，行政罚款总额不应超过对最重违法行为规定的金额。

4．对违反下列规定的行为，应按照第2款处最高1000万欧元的行政罚款，或者如果违法主体是企业，处最高1000万欧元或者上一财务年度全球年营业总额2%的行政罚款（以较高者为准）： （a）控制者和处理者依照第8条、第11条、第25条至第39条及第42条和第43条承担的义务； （b）认证机构依照第42条和第43条的义务； （c）监督机构依照第41条第4款的义务；

5．对违反下列规定的行为，应按照第2款处最高2000万欧元的行政罚款，或者如果违法主体是企业，处最高2000万欧元或者上一财务年度全球年营业总额4%的行政罚款（以较高者为准）： （a）第5条、第6条、第7条和第9条的基本处理原则，包括同意的条件； （b）数据主体依照第12条至第22条享有的权利； （c）依照第44条至第49条将个人数据传输给第三国接收者或国际组织； （d）依照第九章通过的成员国法律规定的任何义务； （e）未遵守监管机构依照第58条第2款作出的处理、暂停数据流动的命令或临时或最终限制性规定，或者违反第58条第1款没有提供必要的个人数据或信息。

6．未遵守第58条第2款中所述监管机构的命令的，按照本条第2款的规定，应处最高2000万欧元的行政罚款，如果违法主体是企业，处最高2000万欧元或上一财务年度全球年营业总额4%的行政罚款（以较高者为准）。

7．但第58条第2款监管机构纠正权另有规定外，各成员国可以就是否对成员国境内的政府机关或机构实施行政罚款以及罚款的范围制定规则。

8．监管机构根据本条行使权力应遵守欧盟和成员国法律规定的适当程序保障，包括有效的司法救济和正当程序。

9．如果成员国的法律体系没有规定行政罚款，罚款可由主管监管机构提出并由具有管辖权的国家法院实施，并应确保这些法律救济有效并与监管机构实施的行政罚款具有同等的效力。罚款在任何情况下应当有效、与违法行为相称并具有惩戒性。成员国应在2018年5月25日之前将其依照本款通过的法律规定通知欧盟委员会；如果之后有法律修订或影响这些规定的修订，应立即通知欧盟委员会。

1．成员国应对违反本条例行为的其他处罚，特别是对不适用第83条规定的行政罚款的违法行为的处罚作出规定；并采取一切必要措施确保落实这些规定。该等处罚应当有效、与违法行为相称并具有惩戒性。

2．各成员国应在2018年5月25日之前将其依照第1款通过的法律规定通知欧盟委员会；如果之后有法律修订或影响这些规定的修订，应立即通知欧盟委员会。

1．成员国应根据法律协调本条例规定的保护个人数据的权利与言论和信息自由权之间的关系，包括为新闻目的及学术、艺术和文学表达目的处理个人数据的情形。

2．对于为新闻或学术、艺术或文学表达目的而处理个人数据的，如有必要对个人数据保护权与言论和信息自由之间进行协调，成员国应对豁免第二章（原则）、第三章（数据主体的权利）、第四章（控制者和处理者）、第五章（向第三国或国际组织传输个人数据）、第六章（独立监管机构）、第七章（合作和一致性）和第九章（关于特定处理情形的规定）的情形作出规定。

3．各成员国应将其依照第2款通过的法律规定通知欧盟委员会，如果之后有法律修订或影响这些规定的修订，应立即通知欧盟委员会。

对于政府机关、公共机构或私人机构为实现公共利益履行职责而在官方文件中掌握的个人信息，为了协调公众获得官方文件的权利与本条例规定的个人信息保护权之间的关系，可按照该政府机关或机构应遵守的欧盟或成员国法律披露。

成员国可对处理身份证号码或通常应用的其他识别信息规定更具体的条件。在该情况下，只有依照本条例对数据主体享有的权利和自由采取适当保障措施后，方可使用身份证号码或通常应用的其他识别信息。

1．为确保雇用情况下处理员工个人信息时员工的权利和自由得到保护，特别是为招聘、履行劳动合同（包括履行法律或集体劳动合同规定的义务、工作的管理、规划和组织、工作场所中的平等和多样性，工作健康和安全、保护用人单位或客户的财产，为了个人或集体行使和享有劳动相关权利和利益）以及终止劳动关系之目的而处理员工个人数据时，成员国可以根据法律或集体劳动协议作出更为具体的规定。

2．这些规定包括为保障数据主体的人格尊严、合法利益和基本权利而采取的恰当和具体措施，特别是关于处理行为透明度、在企业集团或从事联合经济活动的企业团体内部传输个人数据以及工作场所的监控系统方面的措施。

3．各成员国应将其依照第1款通过的法律规定在2018年5月25日之前通知欧盟委员会，如果之后有法律修订或影响这些规定的修订，应立即通知欧盟委员会。

1．根据本条例，为保护数据主体之权利和自由，应对为公共利益建档、为科学、历史研究或统计目的进行的处理采取适当保障措施。特别是为遵守数据最小化原则，应确保这些保障措施具备所必要的技术和组织措施。这些措施可包括假名化，前提是能以该方式实现这些目的。如果通过再处理能够实现这些目的，而再处理不允许或不再允许识别数据主体的，这些目的就应以该方式实现。

2．为科学、历史研究或统计之目的而进行个人数据处理的，如果第15条、第16条、第18条和第21条所述权利可能导致特定目的无法实现或严重影响特定目的的实现，欧盟或成员国法律可依照本条第1款中规定的条件和保障措施规定对上述的权利的豁免，且此等豁免是实现这些目的所必要的。

3．为实现公众利益的目的进行个人数据处理的，如果第15条、第16条、第18条、第19条、第20条和第21条中所述的权利可能导致特定目的无法实现或严重损害特定目的的实现，欧盟或成员国法律可以依照可根据本条第1款中规定的条件和保障措施规定对上述权利的豁免，且此等的豁免是为实现这些目的所必要的。

4．第2款和第3款中所述的处理同时用于其他目的的，豁免仅适用于这几款所述的目的。

1．根据欧盟或成员国法律或者国家主管机关规定负有专业保密或其他同等保密义务的控制者或处理者，成员国可对第58条第1款（e）项和（f）项中规定的监管机构对有关控制者或处理者的权力作出具体的规定，但是所作的规定应当是对于协调个人数据保护权与保密义务所必要并且相称的。这些规定仅适用于控制者或处理者因该保密义务范围内的活动而获得的个人数据，或者在该保密义务范围内的活动中获得的个人数据。

2．各成员国应将其依照第1款通过的规定在2018年5月25日之前通知欧盟委员会，如果之后有影响这些规定的修订，应立即通知欧盟委员会。

1．如果成员国教会及宗教协会或团体在本条例生效之时适用与处理有关个人数据保护相关的综合性规定的，这些规定在与本条例一致的前提下可继续适用。

2．按照本条第1款适用综合性规定的教会和宗教协会应受到独立监管机构（可以是特定的机构）的监督，条件是其满足本条例第六章规定的条件。

1．根据本条中规定的条件，授予欧盟委员会通过授权法案的权力。

2．第12条第8款和第43条第8款中所述的授权自2016年5月24日起授予欧盟委员会，具体授权期间不确定，欧洲议会或欧洲理事可随时撤销第12条第8款和第43条第8款中所述的授权。撤销决议应终止该决议中规定的授权，自其公布于《欧盟公报》之日的下一日或者公报中明确的日期生效。撤销决议不影响已生效的任何授权法案的有效性。

3．授权法案一经通过，欧盟委员会应同时告知欧洲议会和欧盟理事会。

4．依照第12条第8款和第43条第8款采取的授权法案只有满足下列条件方才有效，即在该行为通知欧洲议会和欧盟理事会后的3个月内，欧洲议会和欧盟理事会没有表示反对，或者该期间届满之前欧洲议会和欧盟理事会均告知欧盟委员会不反对。该期间应根据欧洲议会或欧盟理事会的倡议延长3个月。

1．欧盟委员会应由一个委员会辅助。该委员会应为（EU）182/2011号条例所指的委员会。

2．凡提及本款，则适用（EU）182/2011号条例第5条。

3．凡提及本款，则连同（EU）182/2011号条例第5条与第8条一并适用。

1.95/46/EC号指令自2018年5月25日起废止。

2．凡提及被废止的指令视同提及本条例。凡提及95/46/EC号指令第29条中确定的“保护个人数据处理工作组”视同提及依本条例设立的欧洲数据保护委员会。

对于在欧盟境内公共通信网络中，就自然人或法人负有的与2002/58/EC号指令中规定的相同目的的特定义务的事项提供相关的可公开获得的电子通信服务的，本条例没有为自然人或法人与此相关的处理行为规定额外的义务。

成员国在2016年5月24日之前订立的涉及将个人数据传输给第三国或国际组织的国际协议，并且该协议符合订立日前的欧盟相关法律的，在修订、替换或撤销之前继续有效。

1．欧盟委员会应在2020年5月25日之前以及此后每4年，向欧洲议会和欧盟理事会提交一份对本条例的评估和审查报告。报告应向公众公开。

2．在第1款所述的评估和审查中，欧盟委员会应特别审查下列章节的应用和运行情况： （a）第五章“向第三国或国际组织传输个人数据”，特别是关于依照本条例第45条第3款通过的决议以及根据95/46/EC号指令第25条第6款通过的决议； （b）第七章“合作和一致性”。

3．第1款中，欧盟委员会可要求成员国和监管机构提供信息。

4．在进行第1款和第2款中的评估和审查过程中，欧盟委员会应考虑到欧洲议会、欧盟理事会和其他相关机构或来源的立场和调查结果。

5．欧盟委员会在必要时，尤其是考虑到信息技术的发展以及信息社会的进展情况，对修订本条例提出适当的建议。

欧盟委员会在适当情况下应提出立法建议，修改欧盟其他关于保护个人数据的法律行为，以确保在处理上对自然人采取统一和一致的保护，且应当特别关注欧盟机构、机关和办事机构在数据处理上对自然人保护的规则以及该等数据自由流动的规则。

1．本条例自其公布于《欧盟公报》之日后的第20日生效。

2．自2018年5月25日起实施。 本条例全文对全体成员国具有约束力，并直接适用于全体成员国。