欧盟通用数据保护条例GDPR译文.docx

欧盟通用数据保护条例 GDPR (下)第五章 将个人数据转移到第三国或国际组织第44条转移的一般性原则对于正在处理或计划进行处理的个人数据，将其转移到第三国或国际组织， 包括将个人数据从第三国或国际组织转移到另一第三国或另一国际组织，控 制者和处理者只有满足本条例的其他条款，以及满足本章规定的条件才能进 行转移为了保证本条例对于自然人的保护程度不会被削弱，本章的所有条 款都应当被遵守第45条 基于认定具有充足保护的转移1. 当欧盟委员会作出认定，认为相关的第三国、第三国中的某区域或一个或 多个特定部门、或国际组织具有充足保护，可以将个人数据转移到第三国或 国际组织此类转移不需要特定的授权2. 当评估保护程度的充足性时，欧盟委员会应当特别考虑如下因素：(a) 法治、对人权与基本自由的尊重、包括关于公共安全、国防、国家安全、 刑法和公共机构访问个人数据的一般性与部门性立法，以及此类立法的实施、 数据保护规则、职业规则和安全措施，包括将个人数据转移到另一第三国或 国际组织所必须遵循的第三国或国际组织的规则、判例法以及有效可执行的 数据主体权利、对其个人数据正在转移的数据主体的司法救济；(b) 在国际组织是主体的情形中，第三国内存在一个或多个有效运作的独立监 管机构，保证数据保护规则的实施，包括具有充分的执行权力，在数据主体 行使其权利时和与成员国的监管机构合作时提供帮助和建议；(c) 第三国或国际组织已经许下的国际性承诺，或者承诺愿意承担有法律约束 力的条约或法律文件所引起的其它责任，以及参加多边或地区性的体系，特 别是和数据保护相关的体系所引起的其它责任。

3. 在评估了保护程度的充足性之后，欧盟委员会可以通过制定实施性法案， 确定本条第2段含义内的第三国、第三国内的领地或一个或多个特定部门或 一个国际组织是否具有充足的保护实施性法案应当提供一种周期性审查，至少每四年对第三国或国际组织的所有相关发展进行审查实施性法案应当 细化其领域性与部门性的实施，以及在适用的情况下确定本条第 2段(b)点所规定的一个或多个监管机构实施性法案的制定应当遵循第 93 (2)条所规定的验证程序4. 欧盟委员会应当持续性地监控第三国或国际组织的某些可能会影响根据本 条第3款而作出的决定和建立在 95/46/EC指令第25 (6)条基础之上的决定 发挥作用的某些发展5. 当已有信息显示，第三国或第三国内的一个或多个特殊部门或国际组织不再提供本条第2段所规定的充足的保护，欧盟委员会应当一一尤其是在经过 第3段所规定的核查后一一通过制定不具有溯及力的实施性法案，在必要限 度内废止、修正或中止本条第 3段所规定的决定此类实施性法案的制定应当遵循第93 (2)条所规定的验证程序在具有高度正当性的紧急状态情形中，欧盟委员会应当立即根据第 93 (3)条规定的程序而制定实施性法案。

6. 为了补救导致第5条决定的情形，欧盟委员会应当与第三国或国际组织磋 商7. 符合本条第5段的决定不会影响到将个人数据转移到第三国、第三国内的领地或一个或多个部门、或者第 46条至49条所规定的相关国际组织8. 欧盟委员会应当在欧盟的官方杂志及其网站上发表名单，列明其确定已经 具备充足保护或不再具有充足保护的第三国、第三国内的特定部门和国际组 织9. 欧盟委员会在95/46/EC指令第25 (6)条基础上而做出的决定，在被欧盟 委员会根据本条第3段或第5段而修改、替代或废止前应具有效力第46条 转移所需要的适当安全保障1. 如果没有根据第45 (3)条而做出的决定，控制者或处理者只有提供适当 的保障措施，以及为数据主体提供可执行的权利与有效的法律救济措施，才 能将个人数据转移到第三国或一个国际组织2. 在不要求监管机构提供任何具体授权的情形下，第 1段所规定的适当保障措施可以如下方式提供：(a) 公共机构或实体之间之间签订的具有法律约束力和可执行性的文件；(b) 符合第47条的有约束力的公司规则；(c) 欧盟委员会根据第93(2)条规定的核查程序而制定的数据保护标准条款；(d) 监管机构根据第93(2)条规定的核查程序制定并且为欧盟委员会批准的 数据保护标准条款；(e) 根据第40条制定的行为准则，以及第三国的控制者或处理者为了采取合 适的安全保障而做出的具有约束力和执行力的承诺，包括数据主体的权利； 或者(f) 根据第42条而被批准的验证机制，以及第三国的控制者或处理者为了采 取合适的安全保障而做出的具有约束力和执行力的承诺，包括数据主体的权 利。

3. 在需要有权监管机构授权的情形下，第 1段所规定的合适安全措施尤其可 以通过如下方式进行规定：(a) 控制者或处理者与控制者、处理者或第三国或国际组织的个人数据接收者 之间的合同条款；或者(b) 公共机构或公共实体之间在行政性安排中所插入的条款，包括可执行的与 有效的数据主体权利4. 在本条第3段所规定的情形中，监管机构应当适用第 63段所规定的一致 性机制5. 成员国或监管机构根据95/46/EC指令的第26 (2)条而做出的授权，在被监管机构修改、替代或废止之前应当一直有效欧盟委员会根据 95/46/EC指令第26 (4)条而做出的决定，在欧盟委员会按照本条第 2段做出必要性的修改、替换或废止决定前应当一直有效第47条 有约束力的公司规则1. 在满足如下条件时，对于符合第 63条所规定的一致性机制的有约束力的公司规则，有权监管机关应当批准：(a) 具有法律约束力，适用于进行联合经济活动的企业集团或一系列经济主体 的所有相关成员一一包括其雇员，并且为他们所执行b) 在处理个人数据方面明确赋予数据主体以可执行的权利；以及(c) 满足第2段所规定的要求2. 第1段所规定的有约束力的规则应当至少明确：(a) 进行联合经济活动的企业集团或一系列经济主体，及其每一个成员的架构 和详细联系方式；(b) 数据转移或一系列的数据转移， 包括个人数据的类型；处理类型及其目的； 受影响的数据主体的类型；以及涉及到的对第三国或多个第三国的确定；(c) 规则的法律约束效力，既包括内部的约束力，也包括外部的约束力；(d) 对一般数据保护原则的适用，特别是目的限定、数据最小化、有限的储存 期限、数据质量、通过设计的数据保护与默认的数据保护、处理的法律基础、 对特定类型个人数据的处理；保障数据安全的措施；以及将数据转移到不受 约束性公司规则所约束的实体所做的要求；(e) 和处理相关的数据主体的权利以及行使这些权利的方式，包括有权不被仅仅根据自动化处理一一包括符合第 22条的用户画像一一而对数据主体做出决定，有权按照第79条向有权监管机构和成员国的有权管辖的法庭申诉，以及 有权在违反有约束力的公司规则的情形下获取救济和一一如果适用的话一一 赔偿；(f) 对于任何不在欧盟设立的控制者或处理者的相关成员违反约束性公司规 则，在成员国的领域内设立的控制者或处理者愿意承担责任；只有当控制者 或处理者证明，该成员对于导致损害的事件没有责任，控制者或处理者的此 种责任才能被免除；(g) 关于约束性公司规则的信息如何提供给数据主体，特别是第 13和14条之外关于本段所规定的(d)(e)(f)点的信息如何提供给数据主体；(h) 根据第37条所委任的所有数据保护官的任务，或者企业集团、或进行联 合经济活动的一系列经济主体内部负责监控遵守约束性公司规则、监控培训 和处置申诉的所有人或实体的任务；⑴申诉程序；(j) 企业集团或进行联合经济活动的一系列经济主体，为了核实对约束性公司 规则的遵守的而在内部所设立机制。

此类机制应当包括数据保护核查以及能够确保采取矫正性活动保护数据主体权利的方法 此类核实结果应当告知(h)点所规定的个人或实体，企业集团或进行联合经济活动的一系列经济主体，而且在有权监管机构的要求下应当能够提供其核实结果；(k) 报告和记录规则变化的机制，以及将此类变化报告给监管机构的机制；⑴为了保证企业集团或进行联合经济活动的一系列经济主体的合规性而和 监管机构一起设立的合作机制，特别是向监管机构提供( j)点所规定的方法 的核查结果；(m) 企业集团或进行联合经济活动的一系列经济主体的成员是第三国的主体， 可能会对约束性企业规则所提供的保障产生实质性的负面影响，向有权监管 机构报告对此类主体是否有法律要求的机制；以及(n) 对于可永久性或经常性访问个人数据的员工进行的适当数据保护培训3. 欧盟委员会可以明确控制者、处理者和监管机构之间为了本条含义内的约 束性公司规则而进行信息交换的形式和程序此类实施性法案的制定应当遵 循第93 (2)条所规定的验证程序第48条 未经欧盟法授权的转移或披露任何法庭判决、仲裁裁决或第三国行政机构的决定，若要求控制者或处理者 对个人数据进行转移或披露，同时满足以下条件时方能得到认可或执行：一 是该判决、裁决或决定必须基于提出请求的第三国与欧盟或其成员国之间订 立的法律互助协议等国际条约，二是该判决、裁决或决定不会对本章规定的 其他转移形式产生消极影响。

第49条 特殊情形下的克减1. 如果不存在根据第45 (3)而做出的充足保护认定或根据第 46条而制定的 适当安全措施一一包括约束性公司规则，将个人数据转移到第三国或国际机构，只有满足如下情形之一才能进行：(a) 数据主体被明确告知，不存在充足保护或适当的安全措施，预期的数据转 移存在风险，但之后数据主体仍然明确表示同意预期的数据转移；(b) 转移对于履行数据主体与控制者之间的合同，或者履行数据主体在签订契 约前所提出要求是必要的；(c) 控制者和另一自然人或法人之间签订或履行合同时，转移对于实现数据主 体的利益是必要的；(d) 转移对于实现公共利益是必要的；(e) 转移对于确立、行使或辩护法律性主张是必要的；(f) 当数据主体基于身体性或法律性原因无法表达同意，为了保护数据主体或 其他人的关键利益是必要的；(g) 转移是根据登记册而进行的一一这种登记册是欧盟法或成员国法律为了 向具有正当利益的一般性公众或个人提供咨询但是，只有满足欧盟法或成员国法对咨询所规定必要条件，此类个案中的转移才能进行克减当转移无法基于第45或第46条，包括基于约束性公司规则的条款的规定而 进行，且从(a)点到(g)的克减条件都不符合，将数据转移到第三国或国 际组织，这只有在转移满足如下条件时才可以：转移是非重复性的；关乎很 小一部分数据主体的权利；对于实现控制者压倒性的正当利益是必要的，并 且不会违反数据主体的有限性的利益或权利与自由；控制者已经对围绕数据 传输的情形进行评估，而且基于这种评估对个人数据保护采取了合适的安全 保障。

控制者除了提供第 13条和第14条所规定的信息之外，应当将转移和 追求的压倒性正当利益告知数据主体2. 符合第1段(g)点的转移不应当包括登记册里的全部个人数据或所有类 型的个人数据当登记册是为了给具有正当利益的人提供咨询的，只有那些 人提出要求，或者那些人是接收者的情形才能进行转移3. 对于公共机构在行使其公共权力时的活动，第 1段的(a)(b)(c)点以及第1段的第二分段不适用4. 第1段(d)点规定的公共利益应当为欧盟或成员国为控制者所制定的法 律所确认5. 如果不存在充足保护的认定，欧盟或成员国的法律可以基于公共利益而明 确做出限制，限制将个人数据转移到第三国或国际组织的特定类型成员国 应当将此类条款告知欧盟委员会6. 控制者或处理者应当在第 30条规定的档案中记录本条第 1段第二分段所 规定的评估以及合适的安全措施第50条 为保护个人数据的。