【文章內(nèi)容簡介】 實現(xiàn)第89(1)條的公共利益目的、科學或歷史研究目的或統(tǒng)計目的；或者(e)為了提起、行使或辯護法律性主張。第18條 限制處理權1．當存在如下情形之一時，數(shù)據(jù)主體有權要求控制者對處理進行限制：(a)數(shù)據(jù)主體對個人數(shù)據(jù)的準確性有爭議，并給與控制者以一定的期限以核實個人數(shù)據(jù)的準確性；(b)處理是非法的，并且數(shù)據(jù)主體反對擦除個人數(shù)據(jù)，要求對使用其個人數(shù)據(jù)進行限制；(c)控制者不再需要個人數(shù)據(jù)以實現(xiàn)其處理的目的，但數(shù)據(jù)主體為了提起、行使或辯護法律性主張而需要該個人數(shù)據(jù)；(d)數(shù)據(jù)主體根據(jù)第21（1）條的規(guī)定而反對處理，因其需要確定控制者的正當理由是否優(yōu)先于數(shù)據(jù)主體的正當理由。2．當處理受第1段的規(guī)定所限制，除了儲存的情形，此類個人數(shù)據(jù)只有在如下情形中才能進行處理：獲取了數(shù)據(jù)主體的同意，或者為了提起、行使或辯護法律性主張，或者為了保護另一個自然人或法人的權利，或者為了歐盟或某個成員國的重要公共利益。3．那些根據(jù)第1段規(guī)定已經(jīng)獲取了對處理進行限制的數(shù)據(jù)主體，在限制被解除前，控制者應當告知數(shù)據(jù)主體。第19條 關于更正或擦除或限制處理中的通知責任對于所有根據(jù)第117（1）、18條而限制或擦除個人數(shù)據(jù)，或限制處理個人數(shù)據(jù)，控制者都應當將其告知個人數(shù)據(jù)已經(jīng)被披露給的每個接收者——除非此類告知是不可能的，或者需要付出不相稱的工作。如果數(shù)據(jù)主體提出要求，控制者應當將關于接收者的情形告知數(shù)據(jù)主體。第20條 數(shù)據(jù)攜帶權1．當存在如下情形時，數(shù)據(jù)主體有權獲得其提供給控制者的相關個人數(shù)據(jù)，且其獲得個人數(shù)據(jù)應當是經(jīng)過整理的、普遍使用的和機器可讀的，數(shù)據(jù)主體有權無障礙地將此類數(shù)據(jù)從其提供給的控制者那里傳輸給給另一個控制者：(a)處理是建立在第6（1）條（a）點或9（2）條（a）點所規(guī)定的同意，或者6（1）條所規(guī)定的合同的基礎上的；(b)處理是通過自動化方式的。2．在行使第1段所規(guī)定的攜帶權時，如果技術可行，數(shù)據(jù)主體應當有權將個人數(shù)據(jù)直接從一個控制者傳輸?shù)搅硪粋€控制者。3．行使第1段所規(guī)定的權利，不能影響第17條的規(guī)定。對于控制者為了公共利益，或者為了行使其被授權的官方權威而進行的必要處理，這種權利不適用。4．第1段所規(guī)定的權利不能對他人的權利或自由產(chǎn)生負面影響。第四部分 反對的權利和自動化的個人決策第21條 反對權1．對于根據(jù)第6（1）條（e）或（f）點而進行的關乎數(shù)據(jù)主體的數(shù)據(jù)處理，包括根據(jù)這些條款而進行的用戶畫像，數(shù)據(jù)主體應當有權隨時反對。此時，控制者須立即停止針對這部分個人數(shù)據(jù)的處理行為，除非控制者證明，相比數(shù)據(jù)主體的利益、權利和自由，具有壓倒性的正當理由需要進行處理，或者處理是為了提起、行使或辯護法律性主張。2．當因為直接營銷目的而處理個人數(shù)據(jù)，數(shù)據(jù)主體有權隨時反對為了此類營銷而處理相關個人數(shù)據(jù)，包括反對和此類直接營銷相關的用戶畫像。3．當數(shù)據(jù)主體反對為了直接營銷目的而處理，將不能為了此類目的而處理個人數(shù)據(jù)。4．至晚在和數(shù)據(jù)主體所進行的第一次溝通中，第1段和第2段所規(guī)定的權利應當讓數(shù)據(jù)主體明確知曉，且應當與其他信息區(qū)分開來，清晰地告知數(shù)據(jù)主體。5．在適用信息社會服務的語境中，盡管存在2002/58/EC指令的規(guī)定，數(shù)據(jù)主體仍可以使用技術性條件、通過自動化方式行使反對權。6．當個人數(shù)據(jù)是為了第89（1）條所規(guī)定的科學目的或歷史研究目的或統(tǒng)計目的，數(shù)據(jù)主體基于其特定情形應當有權反對對關乎其的個人數(shù)據(jù)進行處理，除非處理對于實現(xiàn)公共利益的某項任務是必要的。第22條 自動化的個人決策，包括用戶畫像1．數(shù)據(jù)主體有權反對此類決策：完全依靠自動化處理——包括用戶畫像——對對數(shù)據(jù)主體做出具有法律影響或類似嚴重影響的決策。2．當決策存在如下情形時，第1段不適用：(a)當決策對于數(shù)據(jù)主體與數(shù)據(jù)控制者的合同簽訂或合同履行是必要的；(b)當決策是歐盟或成員國的法律所授權的，控制者是決策的主體，并且已經(jīng)制定了恰當?shù)拇胧┍ＷC數(shù)據(jù)主體的權利、自由與正當利益；或者(c)當決策建立在數(shù)據(jù)主體的明確同意基礎之上。3．在第2段所規(guī)定的（a）和（c）點的情形中，數(shù)據(jù)控制者應當采取適當措施保障數(shù)據(jù)主體的權利、自由、正當利益，以及數(shù)據(jù)主體對控制者進行人工干涉，以便表達其觀點和對決策進行異議的基本權利。4．第2段所規(guī)定的決策的基礎不適用于第9（1）條所規(guī)定的特定類型的個人數(shù)據(jù)，除非符合第9（2）條（a）點或（g）點的規(guī)定，并且已經(jīng)采取了保護數(shù)據(jù)主體權利、自由與正當利益的措施。第五部分限制第23條 限制1．若控制者或處理者受歐盟法律或某成員國法律的調(diào)整，那么歐盟法律或該成員國法律可以通過立法手段限制第12至22條、34條以及第5條所賦予的責任范圍與權利范圍，只要其法律條款和第12至22條所賦予的責任與權利相對應。如果此類限制尊重基本權利與自由的核心要素，并且此類限制是實現(xiàn)如下民主社會中的目的所必要和成比例的措施，那么此類限制應當被允許：(a)國家安全；(b)國防；(c)公共安全；(d)預防、調(diào)查、偵查、起訴刑事違法進行或者執(zhí)行刑法，包括保障公共安全和預防對公共安全的威脅；(e)其他些歐盟或某個成員國的重要一般公共利益，特別是歐盟或某個成員國的經(jīng)濟或金融利益，包括財政、預算、稅收事項、公共健康和社會安全；(f)司法獨立和司法訴訟的保護；(g)為了規(guī)制性職業(yè)而預防、調(diào)查、保護和起訴違反倫理的行為；(h)和行使（a）（b）（c）（d）（e）（g）點中所規(guī)定的官方權威相聯(lián)系的某項監(jiān)控、調(diào)查或規(guī)制功能；(i)保護數(shù)據(jù)主體或其他人的權利和自由；(j)實施民事法律主張。2．需要特別注意的是，至少在涉及到如下情形時，任何第1段所規(guī)定的立法措施都應當包含特定條款，規(guī)定：(a)處理的目的或處理的類型；(b)個人數(shù)據(jù)的類型；(c)施加限制的范圍；(d)防止濫用或非法性訪問或轉(zhuǎn)移的措施；(e)控制者的具體情況或控制者類型的具體情況；(f)在考慮了處理的性質(zhì)、范圍和目的或處理類型之后所制定的儲存期限和可適用的保障措施；(g)數(shù)據(jù)主體的權利和自由所面臨的風險；以及(h)數(shù)據(jù)主體獲知限制的權利，除非這種權利可能影響實現(xiàn)限制的目的。第四章 控制者和處理者第一部分 一般性責任第24條 控制者的責任1．在考慮了處理的性質(zhì)、范圍、語境與目的，以及考慮了處理對自然人權利與自由所帶來的不同概率和程度的風險后，控制者應當采取恰當?shù)募夹g與組織措施，保證處理符合本條例規(guī)定的，并且能夠證明處理符合本條例規(guī)定。必要時，這些措施應當被審查。2．第1段所規(guī)定的措施，當和處理活動成比例時，應當包括控制者所采用的合適的數(shù)據(jù)保護政策。3．遵守第40條所規(guī)定的已生效的行為準則，或遵守第42條規(guī)定的已生效的認證機制，這可以被用以證明控制者責任的合規(guī)性。第25條 通過設計的數(shù)據(jù)保護和默認的數(shù)據(jù)保護1．在考慮了最新水平、實施成本、處理的性質(zhì)、處理的范圍、處理的語境與目的，以及處理給自然人權利與自由帶來的傷害可能性與嚴重性之后，控制者應當在決定處理方式時和決定處理時，應當采取合適的技術與組織措施，并且在處理中整合必要的保障措施，以便符合本條例的要求和保護數(shù)據(jù)主體的權利。例如，控制者可以采取匿名化，一種設計用來實施數(shù)據(jù)保護原則——比如數(shù)據(jù)最小化原則——的措施。2．控制者有責任采取適當?shù)募夹g與組織措施，以保障在默認情況下，只有某個特定處理目的所必要的個人數(shù)據(jù)被處理。這種責任適用于收集的個人數(shù)據(jù)的數(shù)量、處理的限度，儲存的期限以及可訪問性。尤其需要注意的是，此類措施必須確保，在默認情況下，如果沒有個體介入，個人數(shù)據(jù)不能為不特定數(shù)量的自然人所訪問。3．根據(jù)第42條的某種已生效的認證機制，可以被用來證明本條第1段和第2段所規(guī)定的合規(guī)要求。第26條 共同控制者1．當兩個或更多控制者聯(lián)合確定處理的目的與方法，它們就是共同控制者。它們應當以一種透明的方式確定遵守本條例責任的相應責任，尤其當其涉及到行使數(shù)據(jù)主體個人權利，以及涉及控制者為數(shù)據(jù)主體——根據(jù)他們的合約安排——提供第13條和第14條所規(guī)定的信息的相應責任，除非歐盟或成員國的法律已經(jīng)對對控制者施加了相應責任。2．第1段所規(guī)定的合約安排應當恰當?shù)胤从诚鄬τ跀?shù)據(jù)主體的共同控制者的相應角色和相互關系。數(shù)據(jù)主體應當可以知曉安排的實質(zhì)。3．不論第1段所規(guī)定的合約安排的條款如何，數(shù)據(jù)主體都可以向任一控制者主張其本條例所賦予的權利。第27條 不在歐盟所設立的控制者或處理者的代表1．在第3（2）條適用的情形下，控制者或處理者應當以書面形式在歐盟委任一名代表。2．此項責任不應當適用于：(a)除了第9（1）條所規(guī)定的特定類型數(shù)據(jù)的大規(guī)模處理，或者第10條所規(guī)定的和刑事定罪或違法相關的個人數(shù)據(jù)處理之外的偶爾性處理，以及考慮到處理的性質(zhì)、語境、范圍和目的，不太可能對自然人的權利與自由帶來風險的處理；或者(b)公共機構(gòu)或?qū)嶓w。3．為數(shù)據(jù)主體提供相關商品或服務，或者監(jiān)控數(shù)據(jù)主體的行為，數(shù)據(jù)主體的所在國之一應當設立代表。4．為了確保對本條例的遵守，對于所有涉及到處理的事項，控制者或處理者應當做出強制性規(guī)定，確保其代表能在控制者或處理者之外收到信息，或者替代控制者或處理者收到信息，對于監(jiān)管機構(gòu)和數(shù)據(jù)主體所要求的事項尤其如此。5．控制者或處理者委任代表，不能影響控制者或處理者進行的法律行動。第28條 處理者1．處理者代表控制者進行處理，控制者只能選用有充分保證的、可采取合適技術與組織措施的、其處理方式符合本條例要求并且保障數(shù)據(jù)主體權利的處理者。2．如果沒有控制者之前的特別授權或一般書面授權，處理者不應聘用另一個處理者。在具有一般書面授權的情形下，對于涉及到補充或替換其他處理者的變動，處理者都應當告知控制者，以便使控制者有機會反對此類變化。3．處理者的處理應當受某類合同或其他歐盟法與成員國法的約束，這類合同或法律應當規(guī)定處理者相對于控制者的責任、主體事項、處理期限、處理性質(zhì)與目的、個人數(shù)據(jù)的類型、數(shù)據(jù)主體的類型以及控制者的責任與權利的。此類合同或法律尤其應當對如下情形做出規(guī)定：(a)只有在收到控制者的書面指示時才可以處理個人數(shù)據(jù)，在涉及到將個人數(shù)據(jù)轉(zhuǎn)移到第三國或某個國際組織的事項中亦是如此，除非歐盟法或成員國法對處理者有要求；在這種情形下，處理者應當在處理之前將法律要求告知控制者，除非告知會影響重要的公共利益；(b)對于被授權處理個人數(shù)據(jù)的人，確保其履行保密義務或法律上的適當保密責任；(c)采取第32條所要求的所有措施；(d)尊重第2段和第4段規(guī)定的聘用另一個處理者的條件；(e)結(jié)合處理的性質(zhì)，在可能的情形下，通過合適的技術與組織手段幫助控制者履行其責任，以便使得數(shù)據(jù)主體能夠行使其第三章所規(guī)定的權利；(f)結(jié)合處理的性質(zhì)和處理者所能得到的信息，幫助控制者履行第32至36條所規(guī)定的責任；(g)基于控制者的選擇，在提供和處理相關的服務結(jié)束后，將個人數(shù)據(jù)刪除或返還給控制者，并且刪除已有備份，除非歐盟或成員國的法律要求儲存?zhèn)€人數(shù)據(jù)；(h)給控制者提供所有能夠證明其已經(jīng)遵循本條款規(guī)定責任的信息，以及有利于控制者或控制者委任的審計員進行審計和核查的信息。關于第1段（h）點，如果處理者認為某項指示違反了本條例或其它歐盟或成員國的數(shù)據(jù)保護條款，其應當立即告知控制者。4．當處理者代表控制者為了進行特定的處理活動而應聘另一處理者，第3段所規(guī)定的控制者和處理者之間的合同或其它法律條款所規(guī)定的數(shù)據(jù)保護責任應當通過合同或歐盟或成員國的法律條款而同等適用于另一處理者，尤其是應當采取充分的保障措施、恰當?shù)募夹g與組織手段以滿足本條例的要求。當另一個處理者無法完成其數(shù)據(jù)保護職責時，對其責任，處理者應當完全負擔。5．處理者遵守第40條所規(guī)定的已生效的行為準則，或者遵守第42條所規(guī)定的已生效的驗證機制，這可以被作為證據(jù)之一，證明處理者已經(jīng)采取了本條款第1段和第4段所規(guī)定的充分保障。6．在不影響控制者和處理者之間的單獨合同的前提下，第3段和第4段所規(guī)定的合同或法律條款可以全部或部分運用本條第7段和第8段所規(guī)定的格式合同條款，包括它們何時屬于根據(jù)第42條和第43條規(guī)定的賦予給控制者或處理者的驗證機制。7．歐盟委員會可以對于本條第3段和第4段所規(guī)定的事項，根據(jù)第93（2）條所規(guī)定的檢查程序而制定格式合同條款。8．監(jiān)管機構(gòu)可以對本條第3段和第4段所規(guī)定的事項，根據(jù)第63條所規(guī)定的一致性機制而制定格式合同條款。9．第3段和第4段所規(guī)定的合同或法律條款必須是書面的，包括以電子形式做出的書面記錄。10．在不影響第8884條的情形下，如果某個處理者因為確定處理目的與方法方而違反了本條例，處理者應當在此次處理中被視為控制者。第29條 代表控制者或處理者進行的處理對個人數(shù)據(jù)有訪問權的處理者或控制者、處理者的代表人，未經(jīng)控制者允許，不得處理該個人數(shù)據(jù)。歐盟法律或成員國法律另有規(guī)定的除外。第30條 處理活動的記錄1．每個控制者——以及如果有的話——每個控制者的代表，都應當保持其所負責的處理活動的記錄。這種記錄應當包含所有如下信息：(a)控制者以及——如果有的話——共同控制者、控制者的代表、數(shù)據(jù)保護官的姓名、詳細聯(lián)系方式；(b)處理的目的；(c)對數(shù)據(jù)主體的類型以及個人數(shù)據(jù)的類型的描述；(d)個人數(shù)據(jù)已經(jīng)被披露或?qū)⒈慌督o的接收者——包括位于第三國或國際組織的接收者——的類型；(e)如果適用的話，將個人數(shù)據(jù)轉(zhuǎn)移到第三國或國際組織的記錄，包括識別此第三國或國際組織的記錄，以及在第49（1）條第二分段所提到轉(zhuǎn)移的情形中，對適當保障措施的記錄；(f)如果適用的話，擦除不同種數(shù)據(jù)類型的預計期限；(g)如果適用的話，對第32（1）條所規(guī)定的技術性與組織性安全措施的一般性描述。2．每個處理者以及——如果適用的話——處理者的代表對于以控制者名義進行的處理都應當保持保存一份記錄，包含如下信息：(a)處理者或處理者們的名字和詳細聯(lián)系方式、處理者所代表的每個控制者以及——如果有的話——控制者或處理者的代表、數(shù)據(jù)保護官；(b)代表每個控制者進行處理的類型；(c)如果適用的話，將個人數(shù)據(jù)轉(zhuǎn)移到第三國或國際組織的記錄，包括識別此第三國或國際組織的記錄，以