GDPR(General Data Protection Regulation),全称《通用数据保护条例》,为欧洲联盟的条例,前身是欧盟在1995年制定的《计算机数据保护法》,于2018年5月25日出台。该条例的适用范围极为广泛,任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。
GDPR审计清单可以帮助组织为GDPR合规性的内部和外部审计做好准备。
审计问题 | 参考文献 | 状态 | ||||
问责制治理 | 您是否制定了总体数据保护政策,以证明符合包括处理、设计隐私和记录保存在内的要求? | 5(2) | FC ○ | IP ○ | NC ○ | NA ○ |
您是否对所有员工进行GDPR要求和原则的培训,包括处理活动、控制、隐私影响评估、审计、数据主体权利、报告关系和设计隐私,以及不合规的潜在影响? | 5(2) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否定期对处理个人数据的员工进行测试、再培训和维护培训记录,以了解他们对GDPR要求的理解? | 5(2) | FC ○ | IP ○ | NC ○ | NA ○ | |
如果您需要数据保护官(DPO),他或她是否有向最高管理层报告的权力、必要的资源、独立性和权力,以确保遵守GDPR和其他数据保护法? | 7(1) 38(1-4,6) | FC ○ | IP ○ | NC ○ | NA ○ | |
DPO在执行任务时是否受到保密或保密的约束? | 38(5) | FC ○ | IP ○ | NC ○ | NA ○ | |
如果DPO还有其他职责,是否对其进行了评估以避免利益冲突? | 38(6) | FC ○ | IP ○ | NC ○ | NA ○ | |
DPO是否具备完成第39条所述任务的知识和能力? | 37(5) 39(1,2) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否在内部、公开和与相关监管机构共享了DPO的联系信息? | 37(7) | FC ○ | IP ○ | NC ○ | NA ○ | |
处理原则 | 您是否维护记录管理和数据保留政策? | 24(1,2,3) | FC ○ | IP ○ | NC ○ | NA ○ |
您是否记录了证明保留期合理的原则? | 5(1) | FC ○ | IP ○ | NC ○ | NA ○ | |
个人数据是否以合法、公平和透明的方式处理? | 5(1) 6(1,2,3,4) | FC ○ | IP ○ | NC ○ | NA ○ | |
个人数据是否出于特定、明确和合法的目的而收集,并且没有以与这些目的不兼容的方式进一步处理? | 5(1) | FC ○ | IP ○ | NC ○ | NA ○ | |
个人数据是否与处理目的相关、有限且最小化? | 5(1) | FC ○ | IP ○ | NC ○ | NA ○ | |
个人数据是否准确并保持最新?是否采取了一切合理措施确保不准确的个人数据被立即删除和纠正? | 5(1) | FC ○ | IP ○ | NC ○ | NA ○ | |
个人数据是否仅在处理目的所需的时间内保留? | 5(1) | FC ○ | IP ○ | NC ○ | NA ○ | |
个人数据的处理方式是否确保了个人数据的适当安全性,包括使用适当的技术或组织措施防止未经授权或非法处理以及意外丢失、销毁或损坏? | 5(1) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否明确、详细说明、记录并更新了处理个人数据的目的? | 5(1) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否采取了适当的技术或组织措施来确保个人数据的安全,包括防止未经授权的处理、意外丢失、销毁或损坏? | 5(1) 24(1,2) | FC ○ | IP ○ | NC ○ | NA ○ | |
如果您处理特殊类别的敏感数据(揭示种族或民族血统、政治观点、宗教或哲学信仰、工会会员资格、遗传数据、用于唯一识别自然人的生物识别数据、有关健康的数据或有关自然人性生活或性取向的数据),您是否符合第9(2)条的条件? | 9(1,2) | FC ○ | IP ○ | NC ○ | NA ○ | |
如果您根据第6(1)条处理与刑事定罪和犯罪或相关安全措施有关的个人数据,这是在官方机构的控制下还是在工会或成员国法律的授权下进行的? | 10 | FC ○ | IP ○ | NC ○ | NA ○ | |
设计和默认隐私 | 您是否确保有适当的流程将隐私设计和默认嵌入项目中,包括确保数据最小化、假名化、加密和仅处理特定目的所需的个人数据的措施? | 25(1,2) 32(1,4) | FC ○ | IP ○ | NC ○ | NA ○ |
您是否仅允许处理数据的员工访问个人数据? | 24(1) 25(1,2) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否经常审计和测试系统和服务,以确保持续的保密性、完整性、可用性和弹性? | 32(1) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否确保在发生物理或技术事故时可以恢复流程和系统? | 32(1,2) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否维护了一个定期测试、评估和评价技术和组织措施有效性的流程,以确保处理的安全性? | 32(1) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否将存储和处理方法(如编辑)应用于个人数据的硬拷贝? | 24(1,2) 25(1,2) | FC ○ | IP ○ | NC ○ | NA ○ | |
对于不再需要的信息,您是否保留了文件化的数据销毁程序?您是否采取措施确保员工遵守程序? | 24(1,2) 25(1,2) | FC ○ | IP ○ | NC ○ | NA ○ | |
数据保护影响评估 | 当使用新技术可能对数据主体造成高风险、自动化处理的决定具有法律影响、处理涉及第9条第(1)款或第10条所述的特殊类别数据,或包括对公共可访问区域的大规模系统监测时,您是否会进行数据保护影响评估(DPIA)? | 35(1) | FC ○ | IP ○ | NC ○ | NA ○ |
DPO在执行DPIA时是否始终参与其中? | 35(2) | FC ○ | IP ○ | NC ○ | NA ○ | |
DPIA是否系统地描述了设想的处理操作、处理的目的、与目的相关的处理的必要性和比例的评估、对数据主体权利和自由风险的评估,以及为应对风险而设想的措施,如保障措施和安全措施? | 35(7) | FC ○ | IP ○ | NC ○ | NA ○ | |
在适当的情况下,您是否征求数据主体或其代表对预期处理的意见? | 35(9) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否制定了检测风险变化的流程,并且您是否审查了DPIA中风险的变化? | 35(11) | FC ○ | IP ○ | NC ○ | NA ○ | |
每个DPIA产生的风险是否得到缓解? | 36(1,2) | FC ○ | IP ○ | NC ○ | NA ○ | |
当风险无法缓解时,您是否会联系监管机构,提供控制者和处理者责任清单、预期处理的目的和方式、为保护数据主体而提供的措施和保障措施、DPO的联系方式、DPIA和任何其他要求的信息? | 36(3) | FC ○ | IP ○ | NC ○ | NA ○ | |
处理记录 | 如果您是雇用250人以上的控制者或处理第30(5)条所列的数据类型,您是否保留了一份处理活动记录,其中包含控制者和DPO的姓名和联系方式、处理目的、数据主体和个人数据类别的描述、个人数据已经或将被披露的接收者类别、数据的国际传输、数据删除的时限,以及对现有技术和组织安全措施的描述? | 30(1,3,5) | FC ○ | IP ○ | NC ○ | NA ○ |
如果您是雇用250人以上或处理第30(5)条所列数据类型的处理者,您是否保留了一份处理活动记录,其中包含处理者、控制者和DPO的姓名和联系方式;代表每个控制者进行的处理类别;国际数据传输;以及对现有技术和组织安全措施的描述? | 30(2,3,5) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否确保以书面形式保存处理活动的记录,并应要求提供给监管机构? | 30(3,4) 31 | FC ○ | IP ○ | NC ○ | NA ○ | |
数据主体权利 | 如果数据主体行使其访问权,您是否确保向其提供第15(1)条所列的所有项目? | 15(1,2,3,4) | FC ○ | IP ○ | NC ○ | NA ○ |
您是否维护了纠正不准确个人数据和填写不完整个人数据的流程? | 16 | FC ○ | IP ○ | NC ○ | NA ○ | |
当数据主体要求删除个人数据时,您是否采取一切合理措施,毫不拖延地删除所有数据、链接和副本,以及在适用第17条第(1)款的情况下? | 17(1,2,3) | FC ○ | IP ○ | NC ○ | NA ○ | |
当个人数据的准确性受到质疑时,您是否会限制处理以验证准确性? | 18(1,2) | FC ○ | IP ○ | NC ○ | NA ○ | |
如果处理不再必要或合法,您是否有在数据主体要求时限制处理的流程? | 18(1,2) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否确保在解除限制之前通知已获得处理限制的数据主体? | 18(3) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否通知所有处理者和其他个人数据接收者更正、删除和处理限制? | 19 | FC ○ | IP ○ | NC ○ | NA ○ | |
当数据主体行使其数据可移植性权利时,您是否会通过自动化方式,以通用和机器可读的格式,不受阻碍地将数据传输给另一个控制者? | 20(1,2) | FC ○ | IP ○ | NC ○ | NA ○ | |
如果数据主体反对为直接营销处理他们的数据,您是否不再处理他们的数据? | 21(2,3,4) | FC ○ | IP ○ | NC ○ | NA ○ | |
如果数据主体反对为研究或官方目的处理其数据,除非你能提出令人信服的合法理由,否则你是否不再处理他们的数据? | 21(1,6) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否确保数据主体有权不受基于自动处理的法律或类似影响决策的约束? | 22(1,2,3,4) | FC ○ | IP ○ | NC ○ | NA ○ | |
同意和通知 | 您能否证明数据主体已同意处理其数据? | 7(1) | FC ○ | IP ○ | NC ○ | NA ○ |
同意请求是否以可理解和可访问的形式,以清晰易懂的语言与其他事项明确区分开来? | 7(2) | FC ○ | IP ○ | NC ○ | NA ○ | |
数据主体是否被要求积极选择加入(根据事实陈述32,选择加入框单独且未勾选)? | 7(1,2) | FC ○ | IP ○ | NC ○ | NA ○ | |
数据主体是否有权随时撤回同意?撤回同意和给予同意一样容易吗? | 7(3) | FC ○ | IP ○ | NC ○ | NA ○ | |
在处理16岁以下主体的数据时,是否得到父母责任人的同意和授权,以及是否做出了合理的努力来验证这一同意? | 8(1,2) | FC ○ | IP ○ | NC ○ | NA ○ | |
隐私声明和政策是否明确提供给数据主体,包括处理者和DPO的联系信息、处理目的、处理的法律依据、个人数据的接收者、国际传输、数据保留期和数据主体权利? | 13(1,2) 14(1,2) | FC ○ | IP ○ | NC ○ | NA ○ | |
如果个人数据不是直接从数据主体处获得的,您是否提供了个人数据的类别和来源,以及这些数据是否可以公开访问? | 14(2) | FC ○ | IP ○ | NC ○ | NA ○ | |
隐私声明和政策是在数据主体收集时提供给数据主体的,还是在一个月内无法数据主体处获得的? | 13(1,2) 14(3) | FC ○ | IP ○ | NC ○ | NA ○ | |
在进一步处理之前,是否向数据主体提供了之前没有传达过的隐私声明和政策? | 13(3,4) 14(4,5) | FC ○ | IP ○ | NC ○ | NA ○ | |
与数据主体的所有沟通是否都以书面形式提供,并使用清晰、简洁和透明的语言? | 12(1) | FC ○ | IP ○ | NC ○ | NA ○ | |
如果无法在收到后一个月内提供有关数据主体权利(第15-22条)所采取行动的信息,您是否会在一个月内向数据主体通知所需的延期,包括延期原因,并将交付延期不超过两个月? | 12(3) | FC ○ | IP ○ | NC ○ | NA ○ | |
如果您没有对数据主体的请求采取行动,您是否会在收到请求后一个月内毫不拖延地告知数据主体不采取行动的原因,并包括向监管机构提出投诉或寻求司法补救的可能性? | 12(4) | FC ○ | IP ○ | NC ○ | NA ○ | |
除非控制者证明信息请求明显没有根据或过度,否则是否免费提供信息请求? | 12(5) | FC ○ | IP ○ | NC ○ | NA ○ | |
违规管理 | 您是否遵守违规事件和通知政策和程序? | 24(1,2,3) 33(1,2,3,4) 34(1,2,3) | FC ○ | IP ○ | NC ○ | NA ○ |
是否实施了安全措施(如备份、假名化、加密、测试)并适用于数据风险? | 32(1) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否有最新的数据泄露应对计划? | 33(1,2,3,4) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否对所有个人数据泄露事件进行调查并采取纠正措施,无论其规模或范围如何? | 33(1) | FC ○ | IP ○ | NC ○ | NA ○ | |
对于可能对数据主体造成风险的违规行为,您是否在72小时内向监管机构报告违规行为,并说明相关主体的类别和数量、相关数据记录的类别和数目、DPO的联系信息、数据违规的可能后果,以及为解决违规行为而提出或采取的措施? | 33(1,3) | FC ○ | IP ○ | NC ○ | NA ○ | |
如果您是处理者,您在意识到数据泄露后是否会立即通知控制者? | 33(2) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否保留了数据泄露登记簿,包括与泄露有关的事实、影响和采取的补救措施? | 33(5) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否及时以清晰明了的语言向受影响的数据主体传达违规行为? | 34(1,2) | FC ○ | IP ○ | NC ○ | NA ○ | |
处理者 | 您是否维护了对加工商和子加工商进行合同签订和尽职调查的政策和程序? | 24(1,2,3) | FC ○ | IP ○ | NC ○ | NA ○ |
您是否只使用通过适当的技术和组织措施确保保护数据主体权利的处理者? | 28(1) | FC ○ | IP ○ | NC ○ | NA ○ | |
如果您是一名处理者,未经控制者事先具体和一般的书面授权,您是否不会与其他处理者合作? | 28(2) | FC ○ | IP ○ | NC ○ | NA ○ | |
所有处理者是否都受一份合同的约束,该合同规定了处理的主题、处理的持续时间、处理的性质和目的、个人数据的类型和数据主体的类别,以及控制者的义务和权利? | 28(3) | FC ○ | IP ○ | NC ○ | NA ○ | |
与处理者签订的合同和服务水平协议是否概述了国际数据传输限制,确保处理个人数据的人员的保密性,确保在服务结束时删除或返回个人数据给控制者,允许控制者和审计员获取检查和审计所需的信息,并包括所有第32条的安全措施? | 28(3) | FC ○ | IP ○ | NC ○ | NA ○ | |
处理者是否通过设计和默认在所有处理活动中确保数据保护? | 25(1) 28(1) | FC ○ | IP ○ | NC ○ | NA ○ | |
数据传输 | 在传输或披露个人信息时,您是否对数据进行加密,只发送必要的数据? | 32(1) | FC ○ | IP ○ | NC ○ | NA ○ |
您是否对所有通信使用安全的数据传输方法(例如电子邮件、文件传输、网站表单、付款)? | 32(1) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否确定了所有国际数据流和出口机制? | 44 | FC ○ | IP ○ | NC ○ | NA ○ | |
除了保护数据主体的权利和法律补救措施(第46条)外,国际数据传输是否得到委员会的授权(第45条)或适当的保护? | 45(1) 46(1,2) | FC ○ | IP ○ | NC ○ | NA ○ | |
您是否定期查看欧盟官方公报,了解委员会的撤销和数据传输授权的变更? | 45(8) | FC ○ | IP ○ | NC ○ | NA ○ | |
合同条款或插入行政安排的条款是否提供了适当的数据传输保障? | 46(3) | FC ○ | IP ○ | NC ○ | NA ○ | |
在依赖具有约束力的公司规则进行数据传输时,除了明确授予数据主体处理其个人数据的可执行权利外,您是否确保这些规则具有法律约束力,适用于企业集团的每个相关成员并由其执行? | 47(1) | FC ○ | IP ○ | NC ○ | NA ○ | |
具有约束力的公司规则是否规定了第47(2)条中的所有项目? | 47(1,2) | FC ○ | IP ○ | NC ○ | NA ○ | |
1. 数据保护官应至少具有以下任务:
a) 通知并告知控制者或处理者以及根据本条例和其他欧盟或成员国数据保护规定履行其义务的员工
b) 监督本条例、其他欧盟或成员国数据保护规定以及控制者或处理者有关个人数据保护的政策的遵守情况,包括责任分配、提高认识和培训参与处理操作的员工以及相关审计;
c) 根据第35条的要求,就数据保护影响评估提供建议,并监督其绩效;
d) 与监管机构合作;
e) 作为监管机构在处理相关问题上的联络点,包括第36条所述的事先协商,并在适当情况下就任何其他事项进行协商
2. 数据保护官在执行任务时应适当考虑与处理操作相关的风险,同时考虑到处理的性质、范围、背景和目的。
2.如果下列情况之一适用,则第1款不适用:
a) 数据主体已明确同意出于一个或多个特定目的处理这些个人数据,除非欧盟或成员国法律规定数据主体不得解除第1款所述的禁令;
b) 为了履行控制者或数据主体在就业、社会保障和社会保护法领域的义务和行使特定权利,只要欧盟或成员国法律或根据成员国法律为数据主体的基本权利和利益提供适当保障的集体协议授权有必要处理的;
c) 如果数据主体在身体上或法律上无法给予同意,但有必要进行处理以保护数据主体或另一自然人的切身利益;
d) 处理是在其合法活动过程中由具有政治、哲学、宗教或工会目的的基金会、协会或任何其他非营利机构在适当的保障措施下进行的,条件是处理仅涉及该机构的成员或前成员或与其达成目的有经常联系的人,未经数据主体同意,个人数据不得在该机构外部披露;
e) 处理涉及数据主体明显已自主公开的个人数据;
f) 建立、行使或辩护法律索赔所必需的或者在法院以执行司法权而必要处理时;
g) 基于欧盟或成员国法律,出于重大公共利益的原因,有必要进行处理,该法律应与所追求的目标相一致,尊重数据实至保护权,并规定适当和具体的措施来维护数据主体的基本权利和利益;
h) 为了预防或职业医学的目的,为了评估员工的工作能力、医疗诊断、提供健康或社会护理或治疗,或者根据欧盟或成员国法律或根据与卫生专业人员的合同,在符合第3款所述条件和保障的情况下,管理健康或社会保健系统和服务,处理是必要的;
i) 出于公共卫生领域的公共利益,例如保护健康免受严重的跨境威胁,或确保医疗保健和药品或医疗器械的高质量和安全标准,根据欧盟或成员国法律进行处理是必要的,该法律规定了适当和具体的措施来保护数据主体的权利和自由,特别是职业保密;
j) 根据欧盟或成员国法律第89条第(1)款,出于公共利益、科学或历史研究目的或统计目的的归档目的,处理是必要的,应与追求的目标相称,尊重数据保护权的本质,并规定适当和具体的措施来维护数据主体的基本权利和利益。
1.只有在以下至少一项适用的情况下,处理才是合法的:
a) 数据主体已同意出于一个或多个特定目的处理其个人数据;
b) 处理是履行数据主体作为当事方的合同所必需的,或者是在签订合同之前应数据主体的要求采取措施所必需的;
c) 处理是遵守控制者所承担的法律义务所必需的;
d) 为了保护数据主体或其他自然人的切身利益,处理是必要的;
e) 处理是为了执行公共利益或行使赋予控制人的官方权力而进行的任务所必需的;
f) 为了控制者或第三方追求的合法利益,处理是必要的,除非这些利益被需要保护个人数据的数据主体的利益或基本权利和自由所压倒,特别是当数据主体是儿童时。
第一项第(f)点不适用于公共当局在执行任务时进行的处理。
1.禁止处理揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员资格的个人数据,禁止处理遗传数据、用于唯一识别自然人的生物特征数据、有关健康的数据或有关自然人性生活或性取向的数据。
根据第6(1)条,与刑事定罪和犯罪或相关安全措施有关的个人数据的处理只能在官方机构的控制下进行,或者在欧盟或成员国法律授权的情况下进行,这些法律为数据主体的权利和自由提供了适当的保障。任何全面的刑事定罪登记簿只能在官方机构的控制下保存。
5.第1款和第2款所述的义务不适用于雇佣人数少于250人的企业或组织,除非其进行的处理可能会对数据主体的权利和自由造成风险,处理不是偶然的,或者处理包括第9条第(1)款所述特殊类别的数据或与第10条所述刑事定罪和犯罪有关的个人数据。
1.数据主体有权从控制者处获得关于其个人数据是否正在处理的确认,在这种情况下,有权访问个人数据和以下信息:
a) 处理的目的;
b) 相关个人数据的类别;
c) 个人数据已经或将被披露的接收者或接收者类别,特别是第三国或国际组织的接收者;
d) 在可能的情况下,个人数据将被存储的预期期限,如被告知不可能,应确定存储期限的标准;
e) 有权要求控制者更正或删除个人数据,或限制处理与数据主体有关的个人数据,也有权反对此类处理;
f) 向监管机构提出投诉的权利;
g) 如果个人数据不是从数据主体那里收集的,则应提供有关其来源的任何可用信息;
h) 第22条第(1)款和第(4)款所述的自动决策的存在,包括分析,至少在这些情况下,关于所涉及的逻辑的有意义的信息,以及这种处理对数据主体的重要性和预期后果。
1.数据主体有权要求控制者删除与其有关的个人数据,不得无故拖延,控制者有义务在以下理由之一适用的情况下立即删除个人数据:
a) 个人数据不再需要用于收集或以其他方式处理的目的;
b) 数据主体根据第6条第(1)款第(a)点或第9条第(2)款(a)项撤回处理所依据的同意,并且没有其他法律依据进行处理;
c) 数据主体反对根据第21(1)条进行的处理,并且没有压倒一切的合法理由进行处理,或者数据主体反对按照第21(2)条进行处理;
d) 个人数据被非法处理;
e) 为了遵守欧盟或成员国法律中控制者所承担的法律义务,必须删除个人数据;
f) 收集的个人数据与第8(1)条所述的信息社会服务的提供有关。
1. 考虑到最新技术、实施成本和处理的性质、范围、背景和目的,以及自然人权利和自由的可能性和严重程度不同的风险,控制者和处理者应采取适当的技术和组织措施,以确保与风险相适应的安全水平,包括酌情:
a) 个人数据的假名化和加密;
b) 确保处理系统和服务的持续保密性、完整性、可用性和弹性的能力;
c) 在发生物理或技术事故时及时恢复个人数据的可用性和访问权限的能力;
d) 定期测试、评估和评价技术和组织措施的有效性以确保处理安全的过程。
2. 在评估适当的安全级别时,应特别考虑处理带来的风险,特别是意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据所带来的风险。
3. 遵守第40条所述经批准的行为准则或第42条所述的经批准的认证机制,可作为证明符合本条第1款规定要求的要素。
控制者和处理者应采取措施,确保在控制者或处理者授权下行事的任何有权访问个人数据的自然人,除非根据控制者的指示,否则不会处理这些数据,除非欧盟或成员国法律要求他或她这样做。
1. 在没有根据第45条第(3)款作出决定的情况下,只有在控制者或处理者提供了适当的保障措施,并且数据主体享有可执行的数据主体权利和有效的法律补救措施的条件下,控制者或处理器才可将个人数据传输给第三国或国际组织。
2. 第1款所述的适当保障措施可以通过以下方式提供,而无需监管机构的任何具体授权:
a) 公共当局或机构之间具有法律约束力和可执行性的文书;
b) 根据第47条制定具有约束力的公司规则;
c) 委员会根据第93(2)条所述审查程序通过的标准数据保护条款;
d) 监管机构根据第93(2)条所述的审查程序通过并经委员会批准的标准数据保护条款;
e) 根据第40条批准的行为准则,以及第三国控制者或处理者有约束力和可执行的承诺,以实施适当的保障措施,包括数据主体的权利;或
f) 根据第42条批准的认证机制,以及第三国的控制者或处理者有约束力和可执行的承诺,以实施适当的保障措施,包括数据主体的权利。
3. 经主管监管机构授权,第1款所述的适当保障措施也可特别通过以下方式提供:
a) 控制者或处理者与第三国或国际组织的控制者、处理者或个人数据接收者之间的合同条款;或
b) 在公共当局或机构之间的行政安排中插入的条款,包括可执行和有效的数据主体权利。
4. 在本条第3款所述的情况下,监管机构应适用第63条所述的一致性机制。
5. 成员国或监管机构根据指令95/46/EC第26(2)条作出的授权应保持有效,直至该监管机构进行必要的修订、替换或废除。委员会根据指令95/46/EC第26(4)条通过的决定应继续有效,直至根据本条第2款通过的委员会决定进行必要的修订、替换或废除。
1. 如果委员会决定第三国、第三国境内的一个或多个特定部门或有关国际组织确保了足够的保护水平,则可以将个人数据转移到第三国或国际组织。此类转让不需要任何特定授权。
2. 在评估保护水平的充分性时,委员会应特别考虑以下因素:
a) 法治、尊重人权和基本自由、一般和部门相关立法,包括有关公共安全、国防、国家安全和刑法以及公共当局获取个人数据的立法,以及此类立法、数据保护规则、专业规则和安全措施的实施,包括将个人数据转移到另一个第三国或国际组织的规则,这些规则在该国或国际组织得到遵守,判例法,以及有效和可执行的数据主体权利,以及为个人数据被转移的数据主体提供有效的行政和司法补救;
b) 第三国或国际组织所属的一个或多个独立监管机构的存在和有效运作,负责确保和执行数据保护规则的遵守,包括足够的执法权力,协助和建议数据主体行使权利,并与成员国的监管机构合作;
c) 第三国或有关国际组织已作出的国际承诺,或因具有法律约束力的公约或文书以及因其参与多边或区域体系而产生的其他义务,特别是与保护个人数据有关的义务。
3. 委员会在评估保护水平的充分性后,可通过实施法案决定第三国、第三国领土或第三国境内的一个或多个特定部门,或国际组织确保本条第2款所指的充分保护水平。实施法应规定至少每四年进行一次定期审查的机制,审查应考虑到第三国或国际组织的所有相关发展。实施法案应明确其领土和部门适用性,并在适用的情况下确定本条第2款(b)项所述的监督机构。实施法案应按照第93(2)条所述的审查程序通过。
4. 欧盟委员会应持续监测第三国和国际组织可能影响根据本条第3款通过的决定和根据指令95/46/EC第25(6)条通过的决定的运作的事态发展。
5. 如果现有信息显示,特别是在本条第3款所述的审查之后,第三国、第三国土或第三国境内的一个或多个特定部门或国际组织不再确保本条第2款所指的充分保护水平,委员会应在必要的情况下,通过实施不具有追溯效力的法案,废除、修改或暂停本条第三款所述决定。这些实施法案应按照第93条第(2)款所述的审查程序通过。
6. 在有正当理由的紧急情况下,委员会应根据第93(3)条所述程序通过立即适用的实施法案。
7. 委员会应与第三国或国际组织进行磋商,以纠正导致根据第5款作出决定的情况。
8. 根据本条第5款作出的决定不影响根据第46条至第49条向第三国、该第三国境内的一个或多个特定部门或有关国际组织转移个人数据。
9. 委员会应在《欧洲联盟公报》及其网站上公布一份第三国、第三国领土和第三国特定部门以及委员会决定不再确保充分保护的国际组织的名单。
委员会根据指令95/46/EC第25(6)条通过的决定应继续有效,直至根据本条第3款或第5款通过的委员会决定进行修订、替换或废除。
2.第1款所述具有约束力的公司规则应至少规定:
a) 从事联合经济活动的企业集团或企业集团及其每个成员的结构和联系方式;
b) 数据传输或传输集,包括个人数据类别、处理类型及其目的、受影响的数据主体类型以及所涉第三国的身份;
c) 它们在内部和外部都具有法律约束力;
d) 一般数据保护原则的应用,特别是目的限制、数据最小化、有限的存储期、数据质量、设计和默认的数据保护、处理的法律依据、特殊类别个人数据的处理、确保数据安全的措施,以及向不受约束性公司规则约束的机构转移数据的要求;
e) 数据主体在处理方面的权利和行使这些权利的手段,包括不受仅基于自动处理的决定的影响的权利,包括根据第22条进行特征分析的权利,根据第79条向主管监管机构和成员国主管法院提出申诉的权利,以及因违反具有约束力的公司规则而获得补救和适当赔偿的权利;
f) 在成员国境内设立的控制者或处理者接受对非欧盟成员国违反具有约束力的公司规则的责任;只有当控制者或处理者证明该成员不对导致损害的事件负责时,才应全部或部分免除该责任;
g) 除第13条和第14条外,如何向数据主体提供关于具有约束力的公司规则的信息,特别是关于本款第(d)、(e)和(f)点所述规定的信息;
h) 根据第37条指定的任何数据保护官员或负责监督企业集团或从事联合经济活动的企业集团内遵守具有约束力的公司规则的任何其他个人或实体的任务,以及监督培训和投诉处理;
i) 投诉程序;
j) 从事联合经济活动的企业集团或企业集团内部的机制,以确保核查遵守具有约束力的公司规则的情况。此类机制应包括数据保护审计和确保采取纠正措施以保护数据主体权利的方法。此类核查的结果应传达给(h)点所述的个人或实体以及企业集团或从事联合经济活动的企业集团的控制企业董事会,并应要求提供给主管监管机构;
k) 报告和记录规则变更并向监管机构报告这些变更的机制;
l) 与监管机构的合作机制,以确保从事联合经济活动的企业集团或企业集团的任何成员遵守规定,特别是向监管机构提供第(j)点所述措施的核查结果;
m) 向主管监管机构报告企业集团或从事联合经济活动的企业集团成员在第三国受到的任何法律要求的机制,这些要求可能对具有约束力的公司规则提供的担保产生重大不利影响;
n) 对永久或定期访问个人数据的人员进行适当的数据保护培训。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...